ほとんどのユーザーは、あなたが運転免許局(DMV)に対処するのと同じようにAWSに対処しています。愛情を込めて言いますが、UIが酷いことには同意しがたいです。コンソールは時代遅れのUX時代の化石で、タイムカプセルが他のタイムカプセルのように見ることが許されなかったのと同じです。価格ページは個人的にあなたを憎む誰かによって設計されており、あなたはそれをすべて受け入れています。なぜなら、AWSが歴史的に正しく対処してきた唯一のことは、つまらない重要なことだからです。セキュリティモデル。誰もが好きではありませんが、誰もが信頼するIAM言語。あなたのアカウントと他の人のアカウント間の境界。それを間違えると、取引全体が崩壊します。
そのため、Fog Securityが5月12日にAmazon Quickの認可バイパスを開示し、AWSが「顧客データは危険にさらされていない」と主張する声明で応答したとき、彼らがどの顧客データの定義を使用しているのかを尋ねるのは公正です。なぜなら、それは明らかなものではなく、確かに私のものではないからです。
Fogが発見したもの
Fogは、Amazon Quickの管理者(これは絶対に壊滅的な個人的侮辱です)が「カスタム権限」を使用してAI Chat Agentsへのアクセスを明確に拒否する場合、UIは機能を正しく非表示にすると報告しています。素晴らしい!素晴らしい!私は本当に、アクセス権がないS3バケットでそれができたらいいのに!特に注目すべきは、管理者がこれを行う他の方法がないということです – カスタム権限かなにもないかです。
しかし、APIは、どのユーザーでもアカウント内のチャットリクエストを送信する方法を知っていれば、アカウント内のユーザーに対する回答を続けることをいとわなくしていました。Fogの概念実証は、管理者以外のユーザーが、紙の上ではエージェント全体から完全にロックアウトされていたセッションから、エージェントに「マンゴーについて教えてください」と尋ねるものでした。エージェントは彼らにマンゴーについて教えました。
AWSはFogがHackerOneを経由して報告した8日後の3月11日から3月12日の間に修正をデプロイしました。これまでのところ、十分に調整されています。真剣に、このスケールの企業にとって、それはパンツの外側に下着を着ているスーパーヒーローの速度です。よくやった。金の星を獲得します。
その後何が起こったか
ここが不快になるのは、対応です。AWSは重大度を「なし」として分類しました。顧客通知は発行されていません。アドバイザリーは公開されていません。
FogがHackerOneレポートを開示してブログ投稿を公開した後、AWSはFog Securityに次の声明を提供しました。「Fog Securityの調整された開示に感謝します。この問題は2026年3月に対処されました。顧客データは危険にさらされておらず、顧客の対応は必要ありません。いつものように、顧客はAWSサポートに連絡して、アカウントのセキュリティについて質問や懸念があれば、サポートを受けることができます。」
その文を分析して、「顧客データは危険にさらされていない」がどれだけ機能しているかを確認してください。
Amazon Quickは独自の製品ページで、Slack、Microsoft Teams、Outlook、CRM、データベース、ドキュメントを1か所に「接続」し、「すべての回答をリアルビジネスデータに基づかせる」AIアシスタントとして説明されています。デフォルトのチャットエージェント(Quick が有効になると同時に自動的に、そして迷惑なことにプロビジョニングされます。これがAIアシスタントがフロントエンドの全体です。
AWSがちょうどパッチを適用した実際のシナリオを考えてみてください。例えば、規制銀行(規制されていない銀行は「まだ逮捕されていない犯罪企業」と呼ばれています)の管理者が、カスタム権限を構成して、大規模なユーザーグループへのチャットエージェントアクセスを拒否しています。おそらく、これらのユーザーは請負業者です。おそらく、彼らはAIツールがクリアされていないビジネスユニットにいます。おそらく銀行のコンプライアンス体制は、内部データの上にシャドウAI使用を平然と禁止しています。2か月前までは、これらのユーザーすべてがエージェントエンドポイントにHTTPリクエストを直接送信して応答を取得することができました。
Fogはセキュリティ企業がクリーンな開示を行っているため、マンゴーについて尋ねました。悪意のあるインサイダーはマンゴーについて尋ねることはしませんでした。
修辞なしでAWSへの質問:顧客データが危険にさらされていなかった意味で、何ですか?チャットエージェントが製品ページで言われているデータにアクセスできない(この場合、マーケティング部門は深刻な説明が必要です)か、または認可されていないユーザーは顧客データに配線されたエージェントをクエリすることができました。この場合、「顧客データは危険にさらされていました」が正しい英語の説明です。
AWSが明確にし、静かな部分を大声で言う
このストーリーが流行し始めた後、AWSは、最初のものよりもはるかに誠実だるため、心から感謝する補足コメントを提供しました。追い詰められたAWS広報担当者によると:「研究者は、サーバサイド検証がない場合、顧客が積極的に使用していなかったAdmin Control機能を使用していました。」
それを2回読んでも役に立ちません。それを翻訳しましょう。
AWSは言っています:はい、サーバー側の認可チェックがありませんでした。はい、あなたのQuickアカウント内の認証されたユーザーは、サービスが提供する唯一のアクセス制御メカニズムをバイパスすることができました。これが大丈夫な理由は、明らかに、実際の顧客が機能しなかった時間ウィンドウ中にそのアクセス制御を構成することに気を悩ませていないということです。
あ?
防御は「バグは本当ではなかった」ではなく、これはAWSの最初の声明から聞いていることで許されるかもしれません。防御もまた「バグが言っていることを行うことができなかった」ではありません。これは、AWSの最初の声明の偶然さえ暗黙しています。防御は「アクセス制御は、言ったことを実行していませんでしたが、幸いなことに誰もそれに依存していませんでした」です。これは企業コミュニケーションの「前のドアのロックが機能しませんでしたが、誰もそれをロックしなかったので、なぜあなたは不快ですか?」と同等です。
これは驚くほど具体的なテレメトリクレームでもあります。AWSは、ゼロ顧客がエクスポージャーウィンドウ中にチャットエージェントアクセスを拒否するカスタム権限を構成したことを知っていると主張しています。これは自信を持って言うべきことで、防御として自発的に提供することはさらに興味深いことです。なぜなら、Quickのアクセス管理モデルの驚くほど厳しいレビューとしても機能するからです:サービスがこの目的のために提供する唯一のノブ、AWSの独自ドキュメント明示的に管理者に使用するよう指示するもの、ゼロの記録された上昇があります。
同じ補足は、HackerOneスレッドにも指し示し、開示ウィンドウ全体を通じてAWSがFogに「ユーザーベースの認可が施行された」と述べたことを示しています。翻訳:同じQuickアカウントで認証されたクレデンシャルが必要でした。はい。それはアカウント内スコープです。これはFogが彼らの記事で文書化したもので、カスタム権限がセキュリティ境界として機能する予定の正確なスコープです。AWSが「ユーザーベースの認可は大丈夫でした」と言うことは、「インターネットから匿名でこれを利用することはできませんでした」と言うことです。これは質問の脅威モデルではありませんでした。脅威モデルは、管理者がいくつかのデータセットを彼らから締め出そうとした有効なSSO資格情報を持つ請負業者です。
なぜこれが聞こえるよりも重要なのか
Amazon Quickのアクセスモデルはすでに異常値です:IAMポリシーはQuickのAI Chat Agentを管理していません。SCPは適用されません。RCPは適用されません。カスタム権限は、サービスが提供する唯一のノブです。それらが強制されない場合、他には何もしません。AWSの独自の補足によると、文字通り誰もそれを使用していませんでした。その文の両半分は警告する必要があり、AWSは彼らを保証として提供しています。
過去10年間のAWSの競争上の優位性は、価格設定ではありませんでした。確かに、開発者の経験ではなく、ドキュメント、コンソール設計、またはサービス名の不可解な詩ではありません。それは、AWSが基礎的なことを正しく理解するという好意的な信念でした。境界線、アイデンティティ、耐久性、信頼性、および顧客が簡単に検証できない部分。顧客はAWSプレミアムを支払いました。なぜなら、彼らは退屈なものを信頼していたからです。
今年、その信頼は以前に方法で試されています。2025年から2026年のAWSセキュリティアドバイザリーのペースは、まだ不明な理由で顕著に増加しています。独立した研究者からの調整されたリリースは、新しいAI隣接サービスで認可チェックが欠落していることを継続的に表示しています。
修正が高速で到着していることが良いです。顧客コミュニケーションが到着していないことが、慈悲的には選択です。サービスが提供する唯一のアクセス制御のバイパスでの「重大度:なし」の評価は、客観的なセキュリティ調査というよりも、通信決定です。そして、通信決定は現在、AWSの補足の恩恵で読み取られています。「バグを修正しますが、存在していることを伝えません。あなたが尋ねます。とにかくその機能を使用していなかったと説明します。」
AWSは小さなことで多くの許しを得ていますが、大きなことを所有しているため、彼らは大きなことの多くを「なし」として分類し続けることを検討したいかもしれません。
