Pesquisadores de cibersegurança desvendaram novos métodos para exfiltrar dados sensíveis de ambientes de execução de código de inteligência artificial (IA), utilizando consultas ao sistema de nomes de domínio (DNS). Essas descobertas, juntamente com divulgações separadas sobre **LangSmith** e **SGLang**, destacam a crescente necessidade de medidas de segurança robustas em infraestruturas de IA.  ### Vulnerabilidade no Code Interpreter do Amazon Bedrock AgentCore Um relatório da **BeyondTrust**, publicado esta semana, detalha como o modo sandbox do **Amazon Bedrock AgentCore Code Interpreter** permite consultas DNS de saída, potencialmente permitindo que atacantes estabeleçam shells interativos e contornem o isolamento de rede. Este problema, atualmente sem um identificador **CVE**, recebeu uma pontuação CVSS de 7,5 em 10,0. O **Amazon Bedrock AgentCore Code Interpreter**, lançado em agosto de 2025, foi projetado para permitir que agentes de IA executem código de forma segura em ambientes sandbox isolados, impedindo que cargas de trabalho de agentes acessem sistemas externos. De acordo com **Kinnaird McQuade**, arquiteto-chefe de segurança da **BeyondTrust**, o fato de o serviço permitir consultas DNS apesar de uma configuração de "sem acesso à rede" poderia permitir que "atores de ameaças estabelecessem canais de comando e controle e exfiltração de dados via DNS em certos cenários, contornando os controles de isolamento de rede esperados." Em um ataque de prova de conceito, pesquisadores demonstraram como um ator de ameaça poderia alavancar esse comportamento para estabelecer um canal de comunicação bidirecional via consultas e respostas DNS. Isso poderia levar à obtenção de um shell reverso interativo, exfiltração de informações sensíveis através de consultas DNS (assumindo que a função IAM tenha as permissões necessárias para acessar recursos da **AWS** como buckets **S3**), e execução de comandos. Além disso, o canal de comunicação DNS pode ser explorado para entregar payloads adicionais ao Code Interpreter, fazendo com que ele consulte um servidor de comando e controle (C2) DNS em busca de comandos armazenados em registros A DNS, executá-los e retornar os resultados via consultas de subdomínio DNS. Os pesquisadores enfatizaram que funções IAM mal configuradas poderiam exacerbar o problema. Uma função com privilégios excessivos atribuída ao serviço poderia conceder permissões muito amplas para acessar dados sensíveis. "Esta pesquisa demonstra como a resolução DNS pode minar as garantias de isolamento de rede de interpretadores de código sandbox", afirmou a **BeyondTrust**. "Ao usar este método, os atacantes poderiam ter exfiltrado dados sensíveis de recursos da AWS acessíveis através da função IAM do Code Interpreter, potencialmente causando tempo de inatividade, violações de dados de informações confidenciais de clientes ou infraestrutura excluída."  Após uma divulgação responsável em setembro de 2025, a **Amazon** classificou o comportamento como funcionalidade pretendida, em vez de um defeito. Eles recomendam o uso do modo VPC em vez do modo sandbox para isolamento completo da rede e sugerem o uso de um firewall DNS para filtrar o tráfego DNS de saída. **Jason Soroko**, fellow sênior da **Sectigo**, aconselha: "Para proteger cargas de trabalho sensíveis, os administradores devem inventariar todas as instâncias ativas do AgentCore Code Interpreter e migrar imediatamente aquelas que lidam com dados críticos do modo Sandbox para o modo VPC." Ele acrescentou: "Operar dentro de uma VPC fornece a infraestrutura necessária para um isolamento de rede robusto, permitindo que as equipes implementem grupos de segurança rigorosos, ACLs de rede e Firewalls DNS do Route53 Resolver para monitorar e bloquear resoluções DNS não autorizadas. Finalmente, as equipes de segurança devem auditar rigorosamente as funções IAM anexadas a esses interpretadores, aplicando estritamente o princípio do menor privilégio para restringir o raio de explosão de qualquer comprometimento potencial."  ### Vulnerabilidade de Tomada de Controle de Conta no LangSmith Em notícias relacionadas, a **Miggo Security** divulgou uma falha de segurança de alta gravidade no **LangSmith** (**CVE-2026-25750**, pontuação CVSS: 8,5) que poderia levar ao roubo de tokens e tomada de controle de contas. Este problema, afetando implantações auto-hospedadas e na nuvem, foi corrigido na versão 0.12.71 do **LangSmith**, lançada em dezembro de 2025. A vulnerabilidade decorre da falta de validação no parâmetro baseUrl, permitindo a injeção de parâmetros de URL. Um atacante poderia explorar isso enganando um usuário para clicar em um link especialmente elaborado, levando ao roubo de seu token de portador, ID de usuário e ID de workspace. Exemplos de links incluem: * Nuvem - smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com * Auto-hospedado - <domínio_do_cliente_LangSmith>/studio/?baseUrl=https://attacker-server.com A exploração bem-sucedida poderia conceder acesso não autorizado ao histórico de rastreamento da IA, potencialmente expondo consultas SQL internas, registros de clientes de CRM ou código-fonte proprietário ao revisar chamadas de ferramentas. **Liad Eliyahu** e **Eliana Vuijsje**, pesquisadores da **Miggo**, afirmaram: "Um usuário do LangSmith logado poderia ser comprometido meramente acessando um site controlado por um atacante ou clicando em um link malicioso."  Eles acrescentaram: "Esta vulnerabilidade é um lembrete de que as plataformas de observabilidade de IA são agora infraestrutura crítica. Como essas ferramentas priorizam a flexibilidade do desenvolvedor, elas frequentemente contornam inadvertidamente os mecanismos de segurança. Esse risco é agravado porque, assim como o software 'tradicional', os Agentes de IA têm acesso profundo a fontes de dados internas e serviços de terceiros." ### Falhas de Desserialização Insegura de Pickle no SGLang Finalmente, vulnerabilidades foram identificadas no **SGLang**, um popular framework de código aberto para servir modelos de linguagem grande e modelos de IA multimodais. A exploração bem-sucedida poderia levar à desserialização insegura de pickle, potencialmente resultando em execução remota de código. Essas vulnerabilidades, descobertas por **Igor Stepansky**, um pesquisador de segurança da Orca, permanecem sem correção. As falhas são: * **CVE-2026-3059** (pontuação CVSS: 9,8) - Uma vulnerabilidade de execução remota de código não autenticada através do broker ZeroMQ (também conhecido como ZMQ), que desserializa dados não confiáveis usando pickle.loads() sem autenticação. Afeta o módulo de geração multimodal do SGLang. * **CVE-2026-3060** (pontuação CVSS: 9,8) - Uma vulnerabilidade de execução remota de código não autenticada através do módulo de desagregação, que desserializa dados não confiáveis usando pickle.loads() sem autenticação. Afeta o SGLang