AWS 周二确认它已修补 Amazon Quick 中的一个授权绕过(CWE-862)—— 该 BI 和 agentic-AI 服务 —— 它让具有管理员拒绝权限的用户仍然可以访问 AI 聊天代理。Fog Security 的 Jason Kao 通过 HackerOne(报告 #3577145)在 3 月 4 日报告了该 bug;AWS 在 3 月 11 日将修复部署到初始区域,并在 3 月 12 日完成 rollout。公开披露在今天到来,在标准的协调披露窗口之后。该 bug 不暴露跨租户数据,但对于试图治理其自己 AWS 账户内「shadow AI」使用的管理员来说,它打破了他们拥有的唯一控制。
绕过机制令人尴尬地简单。管理员设置自定义权限以拒绝用户的 Chat Agent 能力。Quick UI 适当地隐藏聊天面板。但对 Chat Agent 后端的直接 HTTP 请求(「告诉我关于芒果的事」)直接到达代理,因为应该验证自定义权限拒绝的服务端授权检查从未编写。CWE-862(「缺失授权」)是最常见的授权 bug 类别,正是因为在有人愿意探测 UI 之外之前它是不可见的。修补后,相同的请求返回带有 `AGENT_ACCESS_DENIED` 的 HTTP 401。范围:限于源 AWS 账户,在 Quick 启动时自动配置的默认系统聊天代理对被拒绝的用户仍然可达。Fog Security 没有观察到跨租户数据访问,也没有受影响账户外的特权提升。
有趣的角度不是这一个 bug —— 是这个模式。超大规模厂商正在以会议速度交付 agentic AI 产品(re:Invent 的 Amazon Quick、上周的 OpenAI Daybreak、Google 的 Gemini Live 模式),每个新产品的访问控制表面比 IAM 团队的审查容量更大。仅-UI 执行恰好是压力下交付者所走的捷径,管理员假设「我拒绝了这个用户的权限,所以他们不能」而不想到用直接后端调用来测试它。「shadow AI」治理问题 —— 企业 IT 不能真正阻止员工使用公司也在付费的 AI 功能 —— 正在成为一个真正的采购问题。AWS 在 8 天内修补,这是正确的模式。但 bug 首先被交付的事实是反复出现的问题,而且随着更多 agentic 服务降落,它将继续发生。
到 3 月 12 日所有区域都已修补 —— Quick 客户除了验证服务显示更新的行为外,无需采取任何行动。对建设者的更广泛的注释:如果你正在交付 agentic AI 产品,授权检查需要在每个接触代理的后端 endpoint 上运行,而不仅仅是在列出操作的任何 UI 表面上。shadow-AI 治理问题将在未来一年内成为大型组织内部的监管压力点 —— 管理员希望可执行的拒绝规则,AI 供应商希望他们的功能尽可能容易访问,这两个需求在没有有纪律的服务端 IAM 的情况下不兼容。AWS Quick 的失误是容易的情况(单租户,修补快)。更难的情况是跨产品集成,其中一个服务的「我已授权」被另一个服务信任而不重新验证。