漏洞  ·  2026-07-17

AWS Bedrock AgentCore Python SDK — OpenTelemetry 仪表化记录敏感用户内容

漏洞Medium 影响GlobalCVE-2026-15737
AWS 披露其开源 Bedrock AgentCore Python SDK 的追踪仪表化在版本 1.4.8 及其他版本中默认记录敏感用户内容,而不是在发送到遥测管道前进行编辑。
AI 代理的可观测性工具意外捕获完整用户提示/PII 的痕迹日志会在任何下游日志/监控基础设施中造成数据泄露风险,这是代理遥测中常见但被低估的影响范围。
SDK 的 OpenTelemetry 仪表化无意中将敏感用户内容(例如完整提示/代理输入)记录到遥测/追踪数据中,这些数据可能被保留或转发到可观测性后端而无需编辑。
AWS Bedrock AgentCore Python SDK 1.4.8 及其他受影响版本
根据 AWS Security Bulletin 2026-058 应用修复;审查并清除任何可能已捕获敏感内容的遥测后端。
AWS Security Bulletin 2026-058
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →