Nye AI-sårbarheter i Bedrock og LangSmith viser svakheter i agent-sikkerhet
To ferske funn i AI-verktøy for utviklere og drift peker i samme retning: «isolerte» agentmiljøer er fortsatt lette å feilkonfigurere, og små designvalg kan åpne for store sikkerhetskonsekvenser.
Hvorfor dette er viktig
Sikkerhetsfirmaet BeyondTrust beskriver en metode der DNS-trafikk kan brukes som kanal for dataeksfiltrering og kommando-kontroll i Amazon Bedrock AgentCore Code Interpreter. Tjenesten er laget for å kjøre kode i avgrensede sandkasser, men forskerne viser at utgående DNS-oppslag i sandbox-modus kan misbrukes til å sende data ut av miljøet.
I praksis betyr det at en angriper, gitt riktig angrepsflate og svake IAM-rettigheter, kan bruke DNS som «smuglerkanal» for å hente ut informasjon fra ressurser agenten har tilgang til. Dermed flyttes risikoen fra klassisk nettverkstilgang til identitet, policy og resolver-kontroll.
Amazon vurderte ifølge rapporten at dette er forventet funksjonalitet i sandbox-modus, og anbefaler VPC-modus for strengere isolasjon. Det er en viktig presisering: sikkerhetsegenskapen avhenger i stor grad av hvilken driftsmodell kunden velger, ikke bare av produktnavnet «sandbox».
Hva dette betyr i praksis
Samtidig meldte Miggo Security om en alvorlig LangSmith-sårbarhet (CVE-2026-25750) knyttet til URL-parameterinjeksjon. Feilen kunne i verste fall føre til token-tyveri og kontoovertakelse dersom en bruker ble lurt til å åpne en manipulert lenke. Leverandøren har utbedret dette i nyere versjon, men funnet illustrerer hvor raskt observability- og utviklerverktøy kan bli en ny angrepsflate når de håndterer autentiserte sesjoner og agentdata.
Kombinert peker sakene på tre konkrete lærdommer for teknologimiljøer som bygger agentbaserte løsninger:
- «Isolert» må valideres teknisk, ikke antas ut fra markedsføring eller standardvalg.
- DNS må behandles som en aktiv eksfiltrasjonskanal i AI-runtime, med filtrering og logging.
- IAM-roller i agentmiljøer må strammes inn hardt, ellers øker skadeomfanget raskt ved kompromittering.
Nyhetsverdien er høy fordi dette treffer kjernen i enterprise-AI akkurat nå: mange går fra pilot til produksjon med code interpreters, verktøykall og agentorkestrering. Da blir grensene mellom applikasjonssikkerhet, cloud-sikkerhet og identitetsstyring stadig mer flytende.
Hva som skjer videre
For norske virksomheter som bruker managed AI-tjenester er dette et tydelig signal om å revidere grunnantakelser i arkitekturen. I praksis bør team verifisere nettverksisolasjon, håndheve minst mulige privilegier, og innføre eksplisitte kontroller for DNS-egress i miljøer som kjører agentkode.