В AWS Bedrock выявлена уязвимость, позволяющая красть данные через DNS-запросы

Морда 17 марта

В AWS Bedrock выявлена уязвимость, позволяющая красть данные через DNS-запросы

AWS Bedrock используется для создания ИИ-приложений, а встроенный компонент Code Interpreter позволяет чат-ботам писать и выполнять код для анализа данных и вычислений. Проблема связана с недостаточной изоляцией среды выполнения, что может привести к утечке конфиденциальных корпоративных данных.

В целях безопасности AWS использует режим Sandbox, который должен полностью блокировать взаимодействие ИИ-модели с внешней сетью. Но специалисты из Phantom Labs выяснили, что система пропускает DNS-запросы (в частности, записи типа A и AAAA), и доказали на практике, что через эти запросы злоумышленники могут незаметно выводить украденные данные и устанавливать двустороннюю связь с изолированным искусственным интеллектом, обходя заявленные ограничения AWS.

Согласно отчету Phantom Labs, компания уведомила AWS о проблеме еще в сентябре 2025 года. В ноябре Amazon выпустила патч для устранения утечек, но всего через две недели была вынуждена отозвать его из-за технических неполадок. В конце декабря руководство AWS приняло решение не предпринимать новых попыток программного исправления, а вместо этого обновило техническую документацию, добавив предупреждения о возможных рисках для клиентов.

Эксперты предупреждают, что для эксплуатации уязвимости хакерам не требуется прямой доступ к системе. Чат-боты могут быть скомпрометированы с помощью инъекций промптов, заставляющих ИИ выполнять вредоносный код, или через атаки на цепочку поставок. Поскольку Code Interpreter использует более 270 сторонних библиотек, внедрение бэкдора хотя бы в один пакет может открыть доступ к системе.

Опасность усугубляется тем, что подобные ИИ-инструменты, как правило, имеют широкий доступ к облачным хранилищам Amazon S3 и сервису управления паролями Secrets Manager. Эксплуатация DNS-утечки позволяет хакерам скрытно выгружать секретную информацию, что грозит масштабными утечками данных клиентов и даже полным удалением корпоративной инфраструктуры.

Для снижения рисков сама компания AWS настоятельно рекомендует администраторам не полагаться на базовую изоляцию режима Sandbox при работе с критически важной информацией. Инстансы следует перевести в режим VPC, который предоставляет более надежный контроль над сетевым трафиком.