Amazon Quick bug ने blocked users को AI chat agents तक पहुंचने दिया (अब patched)

AWS ने मंगलवार को confirm किया कि उसने Amazon Quick में एक authorization bypass (CWE-862) patch किया है — BI और agentic-AI service — जो admin-denied permissions वाले users को AI chat agents तक वैसे भी पहुंचने देता था। Fog Security के Jason Kao ने HackerOne (report #3577145) के माध्यम से 4 मार्च को bug report किया; AWS ने 11 मार्च को initial regions में fix ship किया और 12 मार्च को rollout complete किया। Public disclosure आज standard coordinated-disclosure window के बाद आई। Bug cross-tenant data expose नहीं करता, लेकिन अपने own AWS account के अंदर "shadow AI" usage govern करने की कोशिश कर रहे admins के लिए, इसने उनका एकमात्र control तोड़ा।

Bypass mechanics शर्मनाक रूप से simple हैं। एक admin user के लिए Chat Agent capabilities को deny करने के लिए custom permissions set करता है। Quick UI विधिवत chat panel छुपाती है। लेकिन Chat Agent backend के direct HTTP request ("मुझे आमों के बारे में बताओ") सीधे agent तक जाता है क्योंकि server-side authorization check जिसे custom-permissions deny validate करना चाहिए था कभी लिखा नहीं गया। CWE-862 ("Missing Authorization") सबसे common authorization bug class है ठीक इसलिए क्योंकि यह तब तक invisible है जब तक कोई UI से परे probe करने की जहमत नहीं उठाता। Post-patch वही request HTTP 401 with `AGENT_ACCESS_DENIED` return करता है। Scope: originating AWS account तक सीमित, Quick के launch होने पर auto-provision होने वाला default system chat agent denied users के लिए पहुंच में रहा। Fog Security ने cross-tenant data access, affected account के बाहर कोई privilege escalation observe नहीं किया।

दिलचस्प angle यह एक bug नहीं है — यह pattern है। Hyperscalers conference speed पर agentic AI products ship कर रहे हैं (re:Invent पर Amazon Quick, पिछले हफ्ते OpenAI Daybreak, Google का Gemini Live mode), और हर new product के लिए access-control surface IAM teams की review capacity से बड़ा है। UI-only enforcement बिल्कुल वह shortcut है जो pressure के तहत shippers लेते हैं, और admins assume करते हैं "मैंने इस user को permission deny किया, तो वे नहीं कर सकते" बिना direct backend call से test करने का सोचे। "Shadow AI" governance problem — enterprise IT वास्तव में employees को उन AI features का उपयोग करने से नहीं रोक सकता जिनके लिए company भी pay कर रही है — एक वास्तविक procurement question बन रहा है। AWS ने 8 दिनों में patch किया, जो सही pattern है। लेकिन bug का पहले स्थान पर ship होना recurring problem है, और यह जारी रहेगा क्योंकि अधिक agentic services land होती हैं।

पहले से 12 मार्च तक हर region पर patched — Quick customers के लिए service updated behavior दिखाने की verify करने के अलावा कोई action आवश्यक नहीं। Builders के लिए व्यापक note: अगर आप agentic AI product ship कर रहे हैं, authorization checks को हर backend endpoint पर चलना चाहिए जो agent को touch करता है, सिर्फ उस UI surface पर नहीं जो actions list करती है। Shadow-AI governance question अगले साल बड़े orgs के अंदर regulatory pressure point होगा — admins enforceable deny rules चाहते हैं, AI vendors चाहते हैं कि उनकी features जितनी आसानी से पहुंच सकें उतनी हों, और ये दो demands disciplined server-side IAM के बिना compatible नहीं हैं। AWS Quick की miss easy case है (single-tenant, fast patch)। Harder cases cross-product integrations हैं जहाँ एक service का "मैं authorized हूं" दूसरे द्वारा बिना re-verification के trust किया जाता है।