Các chuyên gia bảo mật vừa hé lộ một kỹ thuật tấn công mới, cho phép trích xuất dữ liệu nhạy cảm từ các môi trường thực thi mã AI thông qua việc lạm dụng các truy vấn hệ thống phân giải tên miền (DNS).

Theo báo cáo từ BeyondTrust, chế độ Sandbox của Amazon Bedrock AgentCore Code Interpreter tồn tại lỗ hổng cho phép thực thi các truy vấn DNS ra bên ngoài (outbound). Tin tặc có thể lạm dụng véc-tơ này để thiết lập các interactive shell, từ đó phá vỡ hoàn toàn cơ chế cô lập mạng (network isolation). Dù chưa có mã định danh CVE chính thức, lỗ hổng này vẫn được đánh giá ở mức độ nghiêm trọng cao với điểm CVSS 7.5.

Ra mắt vào tháng 8/2025, Amazon Bedrock AgentCore Code Interpreter được thiết kế để cung cấp môi trường sandbox cô lập, giúp các tác nhân AI thực thi mã an toàn mà không thể tiếp cận hệ thống bên ngoài. Tuy nhiên, việc hệ thống vẫn cho phép thực hiện các truy vấn DNS – bất kể cấu hình ‘ngắt kết nối mạng’ (no network access) – đã vô tình tạo ra một lỗ hổng bảo mật nghiêm trọng.

Đi sâu vào kỹ thuật: Exfiltration qua DNS và lỗi Deserialization

Phân tích sâu về các lỗ hổng trên các nền tảng AI phổ biến cho thấy những rủi ro kỹ thuật đáng báo động:

  • Kênh điều khiển (C2) qua DNS trên Amazon Bedrock: Tin tặc có thể thiết lập kênh truyền thông hai chiều bằng các truy vấn và phản hồi DNS. Từ đó, chúng có thể chiếm quyền điều khiển (reverse shell), trích xuất thông tin nhạy cảm từ các tài nguyên AWS (như S3 buckets) nếu vai trò IAM được gán quyền quá mức. Cơ chế này còn cho phép phân phát thêm payload cho Code Interpreter bằng cách yêu cầu nó truy vấn máy chủ DNS C2 để lấy lệnh từ các bản ghi DNS A, thực thi chúng và trả kết quả qua các truy vấn subdomain. BeyondTrust nhấn mạnh phương pháp này có thể gây ra downtime, rò rỉ dữ liệu khách hàng hoặc xóa sổ hạ tầng. 
  • Phản hồi từ Amazon: Sau khi được thông báo vào tháng 9/2025, Amazon xác định đây là tính năng dự kiến chứ không phải lỗi kỹ thuật. Hãng khuyến nghị khách hàng sử dụng chế độ VPC thay vì Sandbox và sử dụng DNS Firewall để lọc lưu lượng DNS outbound.
  • Lỗ hổng chiếm đoạt tài khoản trên LangSmith (CVE-2026-25750, CVSS: 8.5): Một lỗi tiêm tham số URL (URL parameter injection) do thiếu kiểm soát tham số baseUrl cho phép tin tặc đánh cắp Bearer Token, User ID và Workspace ID của người dùng. Chỉ cần một thao tác click vào liên kết độc hại qua kỹ thuật Social Engineering, tin tặc có thể truy cập trái phép vào lịch sử vết (trace history), các truy vấn SQL nội bộ và hồ sơ khách hàng CRM.

Thực thi mã từ xa (RCE) trên SGLang (CVSS: 9.8): Ba lỗ hổng giải tuần tự hóa dữ liệu không an toàn (unsafe pickle deserialization) được phát hiện bởi Orca Security (hiện vẫn chưa có bản vá):

  • CVE-2026-3059 & CVE-2026-3060 (Điểm 9.8): Cho phép RCE không cần xác thực thông qua bộ môi giới ZeroMQ (ZMQ) khi module đa phương thức hoặc hệ thống phân tách song song được kích hoạt.
  • CVE-2026-3989 (Điểm 7.8): Lạm dụng hàm pickle.load() không an toàn trong tiện ích replay_request_dump.py thông qua tệp pickle độc hại.

Nhận định Chuyên gia: Rủi ro tê liệt hạ tầng

Các chuyên gia bảo mật cảnh báo rằng việc lạm dụng DNS không chỉ dừng lại ở trích xuất dữ liệu mà còn có thể dẫn đến những thảm họa vận hành nghiêm trọng:

  • Kinnaird McQuade (Kiến trúc sư bảo mật trưởng tại BeyondTrust): Ông nhấn mạnh rằng phương thức tấn công này cho phép tin tặc thiết lập các kênh điều khiển (C2) để thao túng Code Interpreter từ xa. Điều này không chỉ dẫn đến rò rỉ dữ liệu khách hàng nhạy cảm mà còn có thể gây ra tình trạng ngừng hoạt động hệ thống (downtime) kéo dài hoặc thậm chí là xóa sổ hoàn toàn các cấu trúc hạ tầng (deleted infrastructure) vốn được quản lý bởi vai trò IAM có đặc quyền quá lớn.
  • Jason Soroko (Senior Fellow tại Sectigo): Ông cảnh báo các quản trị viên cần phải hành động ngay lập tức vì các môi trường Sandbox mặc định không còn đủ an toàn. Việc thiếu các nhóm bảo mật (Security Groups) và ACL mạng chặt chẽ trong chế độ Sandbox khiến “blast radius” (phạm vi ảnh hưởng) của một vụ xâm nhập có thể lan rộng ra toàn bộ tài nguyên đám mây của doanh nghiệp.

Khuyến cáo từ chuyên gia của VNCS Global

Sự trỗi dậy của các nền tảng quan sát và thực thi mã AI đang tạo ra những bề mặt tấn công mới. Chuyên gia của VNCS Global khuyến nghị các doanh nghiệp đang triển khai hạ tầng AI cần thực hiện ngay các biện pháp phòng vệ sau:

  • Chuyển đổi sang chế độ VPC: Đối với người dùng Amazon Bedrock, cần rà soát và di chuyển ngay các tiến trình xử lý dữ liệu nhạy cảm từ chế độ Sandbox sang chế độ VPC. Việc vận hành trong VPC cung cấp khả năng cô lập mạng mạnh mẽ hơn thông qua Security Groups, Network ACLs và Route53 Resolver DNS Firewall để giám sát và chặn các truy vấn DNS bất thường.
  • Kiểm soát chặt chẽ quyền hạn IAM: Áp dụng nghiêm ngặt nguyên tắc đặc quyền tối thiểu (Least Privilege). Thường xuyên kiểm tra các vai trò IAM gắn với các bộ thực thi mã AI để đảm bảo chúng không có quyền truy cập dư thừa vào các tài nguyên dữ liệu quan trọng.
  • Cập nhật và Vá lỗi khẩn cấp: Người dùng LangSmith cần nâng cấp lên phiên bản 0.12.71 hoặc mới hơn để khắc phục lỗi đánh cắp token. Đối với SGLang (hiện chưa có bản vá chính thức cho một số lỗi), cần hạn chế tối đa việc tiếp xúc của các giao diện dịch vụ với mạng công cộng và thực hiện phân đoạn mạng (network segmentation) chặt chẽ.

Giám sát hành vi hệ thống: Đội ngũ bảo mật cần thiết lập giám sát các kết nối TCP không xác định đến cổng ZMQ, các tiến trình con lạ được sinh ra từ tiến trình Python của SGLang, và đặc biệt là các kết nối outbound từ các tiến trình AI đến các đích đến không mong muốn trên internet.

Nguồn: Tổng hợp