AWS confirmó el martes que parchó un bypass de autorización (CWE-862) en Amazon Quick — el servicio BI e IA-agéntica — que dejaba a usuarios con permisos denegados por admin alcanzar agentes de chat IA de todos modos. Jason Kao de Fog Security reportó el bug vía HackerOne (reporte #3577145) el 4 de marzo; AWS desplegó el fix a regiones iniciales el 11 de marzo y completó el rollout el 12 de marzo. La divulgación pública llegó hoy después de la ventana estándar de divulgación coordinada. El bug no expone datos cross-tenant, pero para admins intentando gobernar el uso "shadow AI" dentro de su propia cuenta AWS, rompió el único control que tenían.
La mecánica del bypass es vergonzosamente simple. Un admin establece permisos personalizados para denegar capacidades Chat Agent para un usuario. La UI de Quick oculta debidamente el panel de chat. Pero una solicitud HTTP directa al backend Chat Agent ("Cuéntame sobre los mangos") va directo al agente porque la verificación de autorización del lado del servidor que debería haber validado la denegación de permisos personalizados nunca fue escrita. CWE-862 ("Autorización Faltante") es la clase de bug de autorización más común precisamente porque es invisible hasta que alguien se molesta en sondear más allá de la UI. Post-parche la misma solicitud retorna HTTP 401 con `AGENT_ACCESS_DENIED`. Alcance: limitado a la cuenta AWS originaria, con el agente chat del sistema por defecto que se auto-provisiona al lanzar Quick permaneciendo alcanzable para usuarios denegados. Fog Security no observó acceso a datos cross-tenant, ni escalada de privilegios fuera de la cuenta afectada.
El ángulo interesante no es este bug en particular — es el patrón. Los hyperscalers están enviando productos IA agénticos a velocidad de conferencia (Amazon Quick en re:Invent, OpenAI Daybreak la semana pasada, modo Gemini Live de Google), y la superficie de control de acceso para cada nuevo producto es más grande que la capacidad de revisión de los equipos IAM. El enforcement solo-UI es exactamente el atajo que toman los que envían bajo presión, y los admins asumen "le denegué al usuario el permiso, así que no puede" sin pensar en probarlo con una llamada directa al backend. El problema de gobernanza "shadow AI" — el IT empresarial no puede realmente prevenir que los empleados usen las funciones IA que la empresa también está pagando — se está convirtiendo en una verdadera pregunta de procurement. AWS parchó en 8 días, lo cual es el patrón correcto. Pero el hecho de que el bug haya sido enviado en primer lugar es el problema recurrente, y seguirá pasando mientras más servicios agénticos aterrizan.
Ya parchado en todas las regiones al 12 de marzo — ninguna acción necesaria para clientes Quick más allá de verificar que el servicio muestra el comportamiento actualizado. La nota más amplia para constructores: si estás enviando un producto IA agéntico, las verificaciones de autorización necesitan correr en cada endpoint backend que toca al agente, no solo en cualquier superficie UI que lista las acciones. La pregunta de gobernanza shadow-AI va a ser un punto de presión regulatoria dentro de grandes orgs durante el próximo año — los admins quieren reglas de denegación exigibles, los proveedores IA quieren que sus funciones sean tan fáciles de alcanzar como sea posible, y estas dos demandas no son compatibles sin IAM del lado del servidor disciplinada. El fallo de AWS Quick es el caso fácil (single-tenant, parchado rápido). Los casos más difíciles son las integraciones cross-producto donde el "estoy autorizado" de un servicio es confiado por otro sin re-verificación.