A AWS confirmou terça-feira que corrigiu um bypass de autorização (CWE-862) no Amazon Quick — o serviço BI e IA-agêntica — que deixava usuários com permissões negadas pelo admin alcançar agentes de chat IA mesmo assim. Jason Kao da Fog Security relatou o bug via HackerOne (relatório #3577145) em 4 de março; a AWS distribuiu o fix para regiões iniciais em 11 de março e completou o rollout em 12 de março. A divulgação pública veio hoje após a janela padrão de divulgação coordenada. O bug não expõe dados cross-tenant, mas para admins tentando governar o uso "shadow AI" dentro de sua própria conta AWS, ele quebrou o único controle que tinham.
A mecânica do bypass é embaraçosamente simples. Um admin define permissões customizadas para negar capacidades Chat Agent para um usuário. A UI do Quick devidamente esconde o painel de chat. Mas uma requisição HTTP direta ao backend Chat Agent ("Conte-me sobre as mangas") vai direto ao agente porque a verificação de autorização do lado do servidor que deveria ter validado a negação das permissões customizadas nunca foi escrita. CWE-862 ("Autorização Ausente") é a classe de bug de autorização mais comum precisamente porque é invisível até alguém se dar ao trabalho de sondar além da UI. Pós-patch a mesma requisição retorna HTTP 401 com `AGENT_ACCESS_DENIED`. Escopo: limitado à conta AWS originária, com o agente chat do sistema padrão que se auto-provisiona ao lançar o Quick permanecendo alcançável aos usuários negados. A Fog Security não observou acesso cross-tenant a dados, nem escalada de privilégio fora da conta afetada.
O ângulo interessante não é este bug em particular — é o padrão. Os hyperscalers estão entregando produtos IA agênticos a velocidade de conferência (Amazon Quick no re:Invent, OpenAI Daybreak na semana passada, modo Gemini Live do Google), e a superfície de controle de acesso para cada novo produto é maior que a capacidade de revisão dos times IAM. O enforcement apenas-UI é exatamente o atalho que pegam quem entrega sob pressão, e admins assumem "neguei a esse usuário a permissão, então ele não pode" sem pensar em testar com uma chamada direta ao backend. O problema de governança "shadow AI" — TI corporativa não pode realmente prevenir que funcionários usem os recursos IA que a empresa também está pagando — está se tornando uma verdadeira questão de procurement. A AWS corrigiu em 8 dias, o que é o padrão certo. Mas o fato do bug ter sido entregue em primeiro lugar é o problema recorrente, e continuará acontecendo conforme mais serviços agênticos aterrissam.
Já corrigido em todas as regiões em 12 de março — nenhuma ação necessária para clientes do Quick além de verificar que o serviço mostra o comportamento atualizado. A nota mais ampla para construtores: se você está entregando um produto IA agêntico, as verificações de autorização precisam rodar em cada endpoint backend que toca o agente, não apenas em qualquer superfície UI que lista as ações. A questão de governança shadow-AI vai ser um ponto de pressão regulatória dentro de grandes orgs no próximo ano — admins querem regras de negação exigíveis, fornecedores IA querem que seus recursos sejam tão fáceis de alcançar quanto possível, e essas duas demandas não são compatíveis sem IAM do lado do servidor disciplinada. A falha do AWS Quick é o caso fácil (single-tenant, corrigido rápido). Os casos mais difíceis são as integrações cross-produto onde o "estou autorizado" de um serviço é confiado por outro sem re-verificação.