文章总结： AWSBedrockAgentCore代码解释器被披露存在沙箱绕过漏洞，CVSSv3评分7.5。因沙盒模式未限制DNS出站查询，攻击者可利用DNS隧道建立隐蔽C2通道窃取数据甚至获取反向Shell。若配置过高IAM权限将扩大攻击面，传统监控工具难以检测此类隐蔽通信。 综合评分： 88 文章分类： 漏洞分析,云安全,AI安全,漏洞预警,渗透测试

AWS Bedrock AgentCore 沙箱绕过功能可实现隐蔽的 C2 和数据泄露

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月18日 13:23 北京

AWS Bedrock AgentCore 代码解释器中新披露的一个漏洞允许威胁行为者绕过网络隔离并建立隐蔽的命令与控制 (C2)通道。

AWS 最初宣传此模式可提供完全隔离，无需外部访问，但研究人员发现它允许对 A 和 AAAA 记录进行出站 DNS 查询。

这种结构性漏洞使得攻击者能够在不触发网络限制的情况下窃取敏感的云数据并执行远程命令。该安全问题目前的 CVSSv3 评分为 7.5。

该漏洞由 BeyondTrust 的 Phantom Labs 发现，并于 2026 年 3 月 16 日公开详细说明，该漏洞存在于服务的“沙盒”网络模式中。

沙盒逃生机制

AWS Bedrock AgentCore 代码解释器允许 AI 代理和聊天机器人代表用户执行动态代码，例如 Python 或 shell 脚本。

虽然为该服务提供支持的 Firecracker 微型虚拟机提供了强大的计算隔离，但沙盒模式下的网络层无法限制 DNS 流量。

如果攻击者通过提示注入、供应链攻击或恶意 AI 生成的代码在解释器内部实现代码执行，他们就可以利用这一漏洞。

该攻击通过轮询攻击者控制的DNS服务器来实现。恶意服务器将命令以分块ASCII值的形式编码，并嵌入到DNS A记录响应的IP地址中，然后发送回沙箱。

被入侵的代码解释器随后执行这些命令，并将输出结果嵌入到 DNS 子域名查询中，从而窃取数据。这便创建了一个可靠的双向隧道，完全隐藏在标准的 DNS 流量中。

这种绕过方法的主要危险在于能够在看似隔离的环境中获得完整的交互式反向 shell。

如果为代码解释器分配了权限过高的 AWS Identity and Access Management (IAM)角色，则爆炸半径会显著扩大。

研究人员证明，解释器的 IAM 权限可以被滥用，以查询和访问其他 AWS 服务，例如 S3 存储桶或 DynamoDB。

利用已建立的 DNS C2 通道，攻击者可以列出存储桶、读取文件，并窃取敏感信息，例如个人身份信息 (PII)、API 密钥和财务数据。

由于所有数据都是通过 DNS 查询离开环境的，因此传统的网络监控工具（用于查找出站 HTTP 或 TCP 连接）将无法检测到这种漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《AWS Bedrock AgentCore 沙箱绕过功能可实现隐蔽的 C2 和数据泄露》