セキュリティ研究者により、ドメインネームシステム(DNS)クエリを使用してAI駆動型のコード実行環境から機密データを流出させる手法が実証され、クラウドベースのAIツールの潜在的なリスクが浮き彫りになった。
Phantom Labs Researchレポート(3月16日公開)はAWS Bedrock AgentCoreコードインタープリターに焦点を当て、攻撃者がサンドボックスモードで予期されるネットワーク制限を回避し、クラウドリソースからデータを取得する方法を示している。
この技術は、ネットワーク接続が制限されている場合でも活発なままであるDNS解決機能に依存している。研究者によると、この動作により、ファイルに埋め込まれた悪意のある命令は秘密のコマンド&コントロール(C2)チャネルを作成できる。
技術の仕組み
攻撃は埋め込まれた命令を含む悪意のあるCSVファイルの作成から始まる。AIエージェントがファイルを処理し、コードインタープリター内で実行するためのコードを準備するとき、埋め込まれたコンテンツが生成されたPythonコードに影響を与える可能性がある。
標準的な分析タスクを実行する代わりに、コードはDNSクエリを経由して外部C2サーバーと通信するように変更される可能性がある。システムはDNスリクエストを使用してサーバーをポーリングし、返されたコマンドを実行する。
研究者はテスト中に複数の機能を実証した:
-
サンドボックス内でwhoamiなどの基本的なコマンドを実行する
-
利用可能なAmazon S3バケットとその内容を一覧表示する
-
認証情報、個人データ、財務情報を含む完全なファイルコンテンツを抽出する
これらのアクションにもかかわらず、環境はネットワークアクセスが無効になっていると報告し続けた。
Acalvioの最高経営責任者(CEO)Ram Varadarajanは、この調査結果がより深い建築上の課題を示していると述べた。「AWS Bedrockのサンドボックス分離は最も基本的な層であるDNSで失敗し、教訓はAWSがバグを出荷したことではなく、境界線制御がエージェント型AI実行環境に対して建築上不十分であるということです。」
クラウド環境への潜在的な影響
また、調査結果は、コードインタープリターインスタンスに過度に許容的なIAMロールが割り当てられている場合、リスクが増加することを示している。いくつかの構成では、インタープリターはより広いアクセスが必要な他のAgentCoreサービス用に設計されたロールを継承する可能性がある。
たとえば、デフォルトのAgentCore Starter Toolkitロールには、次のような広範な権限が含まれる可能性がある:
-
DynamoDBへのフルアクセス
-
Secrets Managerシークレットへのフルアクセス
-
アカウント内のすべてのS3バケットへの読み取りアクセス
攻撃者がインタープリター内のコード実行に影響を与える場合、これらの権限は機密情報の発見と抽出を可能にする可能性がある。
「組織は、AWS Bedrock AgentCoreコードインタープリターの「サンドボックス」ネットワークモードが外部ネットワークからの完全な分離を提供していないことを理解する必要があります」と、Sectigoのシニアフェロー、ジェイソン・ソロコが警告した。
DNSデータ流出に関する詳細情報を読む:DNS ハイジャック、英国政府にとって重大なサイバー脅威
AWSの対応とセキュリティの推奨事項
AWSは研究をレビューし、この動作は脆弱性ではなく意図された機能を反映していると判断した。パッチを発行する代わりに、会社はサンドボックスモードが外部ネットワークアクセスが制限されていて、DNS解決を許可していることを明確にするためにドキュメンテーションを更新した。
この動作は意図的なものと考えられているため、Sorokoは組織がセキュリティアプローチを適応させる必要があると述べた。「機密ワークロードを保護するために、管理者はすべてのアクティブなAgentCoreコードインタープリターインスタンスをインベントリし、重要なデータを処理しているものをサンドボックスモードからVPCモードに直ちに移行する必要があります。」
この研究は、AIシステムがコードを実行してインフラストラクチャと相互作用する機能を獲得する際のより広い課題を強調している。厳しい許可境界とネットワーク制御がなければ、自動化されたエージェントはデータ露出への予期しないパスになる可能性がある。
翻訳元: https://www.infosecurity-magazine.com/news/security-flaw-aws-bedrock/
