AWS 週二確認它已修補 Amazon Quick 中的一個授權繞過(CWE-862)—— 該 BI 和 agentic-AI 服務 —— 它讓具有管理員拒絕權限的使用者仍然可以存取 AI 聊天代理。Fog Security 的 Jason Kao 透過 HackerOne(報告 #3577145)在 3 月 4 日報告了該 bug;AWS 在 3 月 11 日將修復部署到初始區域,並在 3 月 12 日完成 rollout。公開揭露在今天到來,在標準的協調揭露視窗之後。該 bug 不暴露跨租戶資料,但對於試圖治理其自己 AWS 帳戶內「shadow AI」使用的管理員來說,它打破了他們擁有的唯一控制。
繞過機制令人尷尬地簡單。管理員設定自定義權限以拒絕使用者的 Chat Agent 能力。Quick UI 適當地隱藏聊天面板。但對 Chat Agent 後端的直接 HTTP 請求(「告訴我關於芒果的事」)直接到達代理,因為應該驗證自定義權限拒絕的伺服器端授權檢查從未編寫。CWE-862(「缺失授權」)是最常見的授權 bug 類別,正是因為在有人願意探測 UI 之外之前它是不可見的。修補後,相同的請求返回帶有 `AGENT_ACCESS_DENIED` 的 HTTP 401。範圍:限於源 AWS 帳戶,在 Quick 啟動時自動配置的預設系統聊天代理對被拒絕的使用者仍然可達。Fog Security 沒有觀察到跨租戶資料存取,也沒有受影響帳戶外的特權提升。
有趣的角度不是這一個 bug —— 是這個模式。超大規模廠商正在以會議速度交付 agentic AI 產品(re:Invent 的 Amazon Quick、上週的 OpenAI Daybreak、Google 的 Gemini Live 模式),每個新產品的存取控制表面比 IAM 團隊的審查容量更大。僅-UI 執行恰好是壓力下交付者所走的捷徑,管理員假設「我拒絕了這個使用者的權限,所以他們不能」而不想到用直接後端呼叫來測試它。「shadow AI」治理問題 —— 企業 IT 不能真正阻止員工使用公司也在付費的 AI 功能 —— 正在成為一個真正的採購問題。AWS 在 8 天內修補,這是正確的模式。但 bug 首先被交付的事實是反覆出現的問題,而且隨著更多 agentic 服務降落,它將繼續發生。
到 3 月 12 日所有區域都已修補 —— Quick 客戶除了驗證服務顯示更新的行為外,無需採取任何行動。對建設者的更廣泛的註釋:如果你正在交付 agentic AI 產品,授權檢查需要在每個接觸代理的後端 endpoint 上運行,而不僅僅是在列出操作的任何 UI 表面上。shadow-AI 治理問題將在未來一年內成為大型組織內部的監管壓力點 —— 管理員希望可執行的拒絕規則,AI 供應商希望他們的功能盡可能容易存取,這兩個需求在沒有有紀律的伺服器端 IAM 的情況下不相容。AWS Quick 的失誤是容易的情況(單租戶,修補快)。更難的情況是跨產品整合,其中一個服務的「我已授權」被另一個服務信任而不重新驗證。