Sandbox IA : exfiltration DNS dans Bedrock, RCE dans SGLang, A...

Trois vulnérabilités distinctes viennent d'être divulguées dans des plateformes majeures d'infrastructure IA, mettant en lumière les limites de l'isolation par sandbox dans les environnements d'exécution de code pour agents IA.

La découverte la plus significative concerne Amazon Bedrock AgentCore Code Interpreter. Ce service, lancé en août 2025, promet une exécution de code dans des sandbox isolés sans accès réseau. BeyondTrust a démontré que le mode sandbox autorise toujours les requêtes DNS sortantes, créant un canal d'exfiltration exploitable avec un score CVSS de 7.5.

Le vecteur d'attaque fonctionne en plusieurs étapes. L'attaquant encode des données dans les sous-domaines des requêtes DNS (technique de DNS tunneling classique). Il établit un canal C2 bidirectionnel via les enregistrements DNS A en réponse et les requêtes en sous-domaine. Il obtient un reverse shell interactif à travers ce canal. Ensuite, si le rôle IAM attaché au Code Interpreter dispose de permissions sur des ressources AWS (buckets S3 par exemple), l'attaquant peut exfiltrer ces données.

Le point critique : Amazon considère ce comportement comme une fonctionnalité attendue, pas comme un défaut. La recommandation officielle est de migrer vers le mode VPC pour une isolation réseau complète, et de déployer un DNS Firewall via Amazon Route53 Resolver pour filtrer le trafic DNS sortant.

Côté LangSmith (plateforme d'observabilité pour applications LLM de LangChain), la vulnérabilité CVE-2026-25750 (CVSS 8.5) est un account takeover classique via vol de tokens d'authentification. L'attaque affecte les déploiements self-hosted et cloud. Le correctif est disponible dans la version 0.12.71.

SGLang, le framework open-source de gestion de modèles de langage, présente deux vulnérabilités : une RCE (Remote Code Execution) permettant l'exécution de code arbitraire sur le serveur hébergeant le modèle, et une LFI (Local File Inclusion) donnant accès en lecture à l'ensemble du système de fichiers.

Ces trois cas illustrent un pattern récurrent : les plateformes IA privilégient la performance et l'accessibilité au détriment de la sécurité périmétrique. L'isolation sandbox des environnements d'exécution de code reste un défi technique non résolu, particulièrement quand des protocoles fondamentaux comme DNS sont autorisés par design.

Recommandations immédiates pour les équipes concernées : auditer tous les rôles IAM attachés aux instances AgentCore Code Interpreter et appliquer le principe du moindre privilège, migrer les workloads sensibles de Sandbox vers VPC mode, mettre à jour LangSmith vers 0.12.71 minimum, vérifier l'exposition réseau des instances SGLang et restreindre l'accès aux endpoints API.

La question de fond reste ouverte : à mesure que les agents IA gagnent en autonomie et en permissions, chaque faille dans leur environnement d'exécution devient un vecteur d'attaque à grande échelle.