脆弱性  ·  2026-07-17

AWS Bedrock AgentCore Python SDK — OpenTelemetry Instrumentation Logs Sensitive User Content

脆弱性Medium 影響度GlobalCVE-2026-15737
AWSは、オープンソースのBedrock AgentCore Python SDKのトレース計測が、バージョン1.4.8などで、テレメトリパイプラインへの送信前に機密ユーザーコンテンツをマスキングするのではなく、デフォルトでログに記録していたことを開示しました。
AIエージェント向けの観測ツールが、ユーザープロンプト/PII全体をトレースログに無意識に取得すると、ダウンストリームのログ記録/監視インフラストラクチャ全体でデータ漏洩リスクが生じます。これはエージェントテレメトリにおける一般的だが過小評価されているブラストラディアスです。
SDKのOpenTelemetry計測は、機密ユーザーコンテンツ(例:完全なプロンプト/エージェント入力)をテレメトリ/トレースデータに意図せずにログに記録し、マスキングなしで観測バックエンドに保持または転送される可能性がありました。
AWS Bedrock AgentCore Python SDK 1.4.8およびその他の影響を受けるバージョン
AWS Security Bulletin 2026-058に従い修正を適用してください。機密コンテンツをキャプチャしている可能性があるテレメトリバックエンドをレビューしてクリアしてください。
AWS Security Bulletin 2026-058
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →