User's blog

Blog

  • Grupos de ciberthreat chineses exploram rapidamente vulnerabilidade React2Shell (CVE-2025-55182)

    Exploração Ativa em Poucas Horas

    A descoberta de uma vulnerabilidade crítica no React Server Components gerou movimento rápido entre grupos de ciberameaças estado-patrocinados. Dentro de poucas horas após a divulgação pública da CVE-2025-55182 (React2Shell) em 3 de dezembro de 2025, as equipes de inteligência de ameaças da AWS identificaram tentativas de exploração ativa conduzidas por múltiplos grupos de ameaças de origem chinesa, incluindo Earth Lamia e Jackpot Panda.

    Esta vulnerabilidade crítica em componentes React apresenta uma pontuação máxima no Sistema Comum de Pontuação de Vulnerabilidade (Commond Vulnerability Scoring System – CVSS) de 10.0, afetando React versões 19.x e Next.js versões 15.x e 16.x quando utilizam App Router. Embora esta vulnerabilidade não afete os serviços gerenciados da AWS, a empresa compartilhou esta inteligência de ameaças para auxiliar clientes que executam aplicações React ou Next.js em seus próprios ambientes a tomar ação imediata.

    O Contexto das Ameaças Chinesas

    A China permanece como a fonte mais prolífica de atividade de ciberameaça patrocinada por Estado. Os atores de ameaça rotineiramente operacionalizam exploits públicos dentro de horas ou dias após a divulgação, demonstrando uma capacidade organizacional impressionante.

    Através do monitoramento realizado na infraestrutura de honeypot MadPot da AWS, as equipes de inteligência de ameaças identificaram tanto grupos conhecidos quanto clusters de ameaças previamente não rastreados tentando explorar a CVE-2025-55182. A AWS implementou múltiplas camadas de proteção automatizada, incluindo defesa ativa Sonaris, regras gerenciadas de Firewall de Aplicação Web (Web Application Firewall – AWS WAF) e controles de segurança de perímetro. Contudo, estas proteções não são substitutos para aplicação de patches.

    Clientes que utilizam serviços AWS gerenciados não são afetados e nenhuma ação é necessária. Clientes que executam React ou Next.js em seus próprios ambientes (Amazon Elastic Compute Cloud, containers, etc.) devem atualizar as aplicações vulneráveis imediatamente.

    Entendendo a CVE-2025-55182 (React2Shell)

    Descoberta por Lachlan Davidson e divulgada responsavelmente ao React Team em 29 de novembro de 2025, a CVE-2025-55182 é uma vulnerabilidade de desserialização insegura em React Server Components. A vulnerabilidade recebeu o nome React2Shell da comunidade de pesquisadores de segurança.

    Características Técnicas Principais

    • Pontuação CVSS: 10.0 (severidade máxima)
    • Vetor de ataque: Execução remota de código não autenticada
    • Componentes afetados: React Server Components em React 19.x e Next.js 15.x/16.x com App Router
    • Detalhe crítico: Aplicações estão vulneráveis mesmo que não utilizem explicitamente funções de servidor, desde que suportem React Server Components

    A vulnerabilidade foi divulgada responsavelmente pela Vercel à Meta e aos principais provedores de nuvem, incluindo a AWS, possibilitando coordenação de patches e implantação de proteções antes da divulgação pública da vulnerabilidade.

    Quem está Explorando a CVE-2025-55182?

    A análise de tentativas de exploração na infraestrutura de honeypot AWS MadPot identificou atividade de exploração proveniente de endereços IP e infraestrutura historicamente associados a atores de ameaça conhecidos de origem chinesa. Devido à infraestrutura de anonimização compartilhada entre grupos de ameaça chineses, atribuição definitiva é desafiadora.

    Earth Lamia

    Este ator de ciberameaça de origem chinesa é conhecido por explorar vulnerabilidades de aplicação web visando organizações em América Latina, Oriente Médio e Sudeste Asiático. O grupo historicamente direcionou setores que incluem serviços financeiros, logística, varejo, empresas de TI, universidades e organizações governamentais.

    Jackpot Panda

    Este ator de ciberameaça de origem chinesa visa principalmente entidades no Leste e Sudeste Asiático. A atividade provavelmente se alinha com prioridades de coleta relacionadas a preocupações de segurança doméstica e corrupção.

    Infraestrutura de Anonimização Compartilhada

    Redes de anonimização em larga escala tornaram-se uma característica definidora das operações de ciberameaça chinesas, habilitando reconhecimento, exploração e atividades de comando-e-controle enquanto obscurecem atribuição. Estas redes são utilizadas simultaneamente por múltiplos grupos de ameaça, dificultando a atribuição de atividades específicas a atores individuais. Além disso, muitos grupos de ameaça não atribuídos compartilham característica com atividade de ciberameaça de origem chinesa. A maioria dos Números de Sistema Autônomo (Autonomous System Numbers – ASNs) observados para atividade não atribuída estão associados à infraestrutura chinesa, confirmando adicionalmente que a maioria da atividade de exploração origina-se daquela região.

    A velocidade com a qual estes grupos operacionalizaram exploits públicos de prova-de-conceito destaca uma realidade crítica: quando provas-de-conceito atingem a internet, atores de ameaça sofisticados são rápidos em weaponizá-las.

    Ferramentas e Técnicas de Exploração

    Atores de ameaça estão utilizando tanto ferramentas automatizadas de varredura quanto exploits individuais de prova-de-conceito. Algumas ferramentas automatizadas observadas possuem capacidades para inibir detecção, como aleatorização de user agent. Estes grupos não estão limitando suas atividades à CVE-2025-55182.

    As equipes de inteligência de ameaças da AWS observaram estes atores simultaneamente explorando outras vulnerabilidades recentes do tipo N-day, incluindo CVE-2025-1338. Isto demonstra uma abordagem sistemática: atores de ameaça monitoram novas divulgações de vulnerabilidades, integram rapidamente exploits públicos em sua infraestrutura de varredura, e conduzem campanhas amplas através de múltiplas Vulnerabilidades e Exposições Comuns (Common Vulnerabilities and Exposures – CVEs) simultaneamente para maximizar suas chances de encontrar alvos vulneráveis.

    A Realidade das Provas-de-Conceito Públicas: Quantidade Sobre Qualidade

    Uma observação notável da investigação é que muitos atores de ameaça estão tentando utilizar provas-de-conceito públicas que na verdade não funcionam em cenários do mundo real. A comunidade de segurança do GitHub identificou múltiplas provas-de-conceito que demonstram compreensões fundamentais incorretas da vulnerabilidade:

    • Algumas aplicações de exemplo explicitamente registram módulos perigosos (fs, child_process, vm) no manifesto do servidor, algo que aplicações reais nunca deveriam fazer
    • Vários repositórios contêm código que permaneceria vulnerável mesmo após aplicação de patches para versões seguras

    Apesar da inadequação técnica de muitas provas-de-conceito públicas, atores de ameaça continuam tentando utilizá-las. Isto demonstra padrões importantes:

    • Velocidade sobre precisão: Atores de ameaça priorizam operacionalização rápida sobre testes minuciosos, tentando explorar alvos com qualquer ferramenta disponível
    • Abordagem baseada em volume: Varrendo amplamente com múltiplas provas-de-conceito (mesmo não-funcionais), atores esperam encontrar o pequeno percentual de configurações vulneráveis
    • Barreira baixa para entrada: A disponibilidade de exploits públicos, mesmo falhos, habilita atores menos sofisticados a participar em campanhas de exploração
    • Geração de ruído: Tentativas de exploração falhadas criam ruído significativo em logs, potencialmente mascarando ataques mais sofisticados

    Padrões de Ataque Persistentes e Metódicos

    A análise de dados do MadPot revela a natureza persistente destas tentativas de exploração. Em um exemplo notável, um cluster de ameaça não atribuído associado ao endereço IP 183.6.80.214 gastou aproximadamente uma hora (das 2:30:17 até 3:22:48 AM UTC em 4 de dezembro de 2025) sistematicamente depurando tentativas de exploração:

    • 116 requisições totais através de 52 minutos
    • Tentou múltiplos payloads de exploração
    • Tentou executar comandos Linux (whoami, id)
    • Tentou escrever arquivo em /tmp/pwned.txt
    • Tentou ler /etc/passwd

    Este comportamento demonstra que atores de ameaça não estão apenas executando varreduras automatizadas, mas estão ativamente depurando e refinando suas técnicas de exploração contra alvos vivos.

    Como a AWS Auxilia na Proteção de Clientes

    A AWS implementou múltiplas camadas de proteção para auxiliar na salvaguarda de clientes:

    Defesa Ativa Sonaris

    O sistema de inteligência de ameaças Sonaris automaticamente detectou e restringiu tentativas de varredura maliciosa visando esta vulnerabilidade. Sonaris analisa mais de 200 bilhões de eventos por minuto e integra inteligência de ameaças da rede de honeypot MadPot para identificar e bloquear tentativas de exploração em tempo real.

    Regras Gerenciadas de AWS WAF

    A versão padrão (1.24 ou superior) do AWSManagedRulesKnownBadInputsRuleSet versão 1.24 agora inclui regras atualizadas para CVE-2025-55182, fornecendo proteção automática para clientes utilizando AWS WAF com conjuntos de regras gerenciadas.

    Inteligência MadPot

    O sistema global de honeypot forneceu detecção antecipada de tentativas de exploração, habilitando resposta rápida e análise de ameaças.

    Inteligência de Ameaças Amazon

    As equipes de inteligência de ameaças Amazon estão investigando ativamente tentativas de exploração da CVE-2025-55182 para proteger infraestrutura AWS. Se identificarmos sinais de que sua infraestrutura foi comprometida, notificaremos você através do Suporte AWS. Contudo, vulnerabilidades de camada de aplicação são difíceis de detectar abrangentemente somente através de telemetria de rede. Não aguarde notificação da AWS.

    Importante: Estas proteções não são substitutos para aplicação de patches. Clientes que executam React ou Next.js em seus próprios ambientes (EC2, containers, etc.) devem atualizar as aplicações vulneráveis imediatamente.

    Ações Recomendadas Imediatas

    Nota: Clientes utilizando serviços AWS gerenciados não são afetados e não requerem ação.

    Indicadores de Comprometimento

    Indicadores de Rede

    • Requisições HTTP POST para endpoints de aplicação com headers next-action ou rsc-action-id
    • Corpos de requisição contendo padrões $@
    • Corpos de requisição contendo padrões “status”:”resolved_model”

    Indicadores Baseados em Host

    • Execução inesperada de comandos de reconhecimento (whoami, id, uname)
    • Tentativas de ler /etc/passwd
    • Escritas suspeitas de arquivo em diretório /tmp/ (por exemplo, pwned.txt)
    • Novos processos originados por processos de aplicação Node.js/React

    Infraestrutura de Ator de Ameaça

    • 206.237.3.150 — 4 de dezembro de 2025 — Earth Lamia
    • 45.77.33.136 — 4 de dezembro de 2025 — Jackpot Panda
    • 143.198.92.82 — 4 de dezembro de 2025 — Rede de Anonimização
    • 183.6.80.214 — 4 de dezembro de 2025 — Cluster de ameaça não atribuído

    Recursos Adicionais

    Fonte

    China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182) (https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/)

  • IAM Policy Autopilot: ferramenta de código aberto que traz expertise em políticas de acesso para desenvolvedores e assistentes de IA

    O que é IAM Policy Autopilot

    A AWS tornou público o IAM Policy Autopilot, uma ferramenta de análise estática disponível em código aberto. Seu propósito principal é auxiliar assistentes de IA na criação rápida de políticas de acesso (Controle de Identidade e Acesso — IAM) que servem como ponto de partida sólido, permitindo que desenvolvedores revisem e ajustem as permissões conforme suas aplicações evoluem.

    A ferramenta funciona de duas formas: como comando de linha (CLI) e como servidor de protocolo de contexto de modelo (MCP). Ao analisar o código da aplicação localmente, gera políticas baseadas em identidade que controlam o acesso para as funções da aplicação. Com essa abordagem, desenvolvedores conseguem focar na escrita do código da aplicação, acelerando o desenvolvimento na AWS e economizando tempo que seria gasto com configuração de políticas de acesso e resolução de problemas de permissão.

    O contexto do problema

    Profissionais que desenvolvem na AWS enfrentam três desafios relacionados às permissões de IAM. Primeiro, muitos preferem dedicar tempo à construção da aplicação em vez de estudar documentações complexas sobre permissões, escrever políticas ou diagnosticar erros de acesso. Segundo, assistentes de IA para codificação — como Kiro, Claude Code, Cursor e Cline — são excelentes em gerar código de aplicação, mas enfrentam dificuldades com as nuances do IAM e necessitam de ferramentas que garantam políticas confiáveis com requisitos complexos entre múltiplos serviços. Terceiro, tanto desenvolvedores quanto seus assistentes de IA precisam manter-se atualizados com os requisitos e padrões de integração mais recentes sem precisar consultar manualmente toda a documentação da AWS.

    Como o IAM Policy Autopilot responde aos desafios

    A ferramenta enderça esses três pontos de forma integrada. Primeiro, executa análise determinística do código da aplicação, gerando as políticas de acesso baseadas em identidade necessárias a partir das chamadas reais do AWS SDK presentes no código. Isso agiliza a criação inicial da política e reduz o tempo de diagnóstico de problemas. Segundo, oferece aos assistentes de IA configurações confiáveis e precisas através do MCP, impedindo alucinações que frequentemente geram erros nas políticas e garantindo que as políticas geradas sejam sintaticamente corretas. Terceiro, mantém-se atualizada com o catálogo expandido de serviços da AWS, atualizando regularmente sua expertise com novos serviços, permissões e padrões de integração, garantindo que desenvolvedores e seus assistentes tenham acesso a requisitos atualizados sem pesquisa manual.

    Como funciona internamente

    Análise de código e geração de políticas

    O IAM Policy Autopilot analisa o código da aplicação e gera políticas de acesso baseadas em identidade conforme os SDK calls da AWS detectados no código. A capacidade essencial da ferramenta reside na análise determinística que produz resultados consistentes e confiáveis. Além de mapeamentos diretos entre SDK e IAM, o Autopilot compreende relacionamentos complexos de dependência entre serviços da AWS.

    Por exemplo, ao identificar uma chamada para s3.putObject(), a ferramenta não gera apenas a permissão do Amazon S3 (s3:PutObject), mas também inclui permissões do AWS KMS (kms:GenerateDataKey) que podem ser necessárias em cenários de criptografia. Ao compreender dependências entre serviços e padrões de uso comum, o Autopilot intencionalmente adiciona essas permissões relacionadas à API PutObject em sua primeira análise, garantindo que a aplicação funcione corretamente independentemente da configuração de criptografia desde a primeira implantação.

    Resolução de erros de acesso negado

    Após as permissões serem criadas, se ainda assim surgirem erros de Acesso Negado durante testes, o IAM Policy Autopilot os detecta e oferece diagnóstico imediato. Quando habilitado, o assistente de IA invoca o Autopilot para analisar a negação e propor correções direcionadas. Após revisão e aprovação da análise e mudanças sugeridas, o Autopilot atualiza as permissões.

    Suporte a MCP e CLI

    A ferramenta opera em dois modos para se adequar a diferentes fluxos de desenvolvimento. Como servidor MCP, integra-se com assistentes compatíveis, incluindo Kiro, Amazon Q Developer, Cursor, Cline e Claude Code. Também está disponível como ferramenta CLI autônoma para gerar políticas ou corrigir permissões faltantes. Ambas as abordagens oferecem as mesmas capacidades de criação e resolução de problemas.

    Demonstração prática: criando uma função segura de upload de arquivos

    Cenário: aplicação com Lambda e S3 criptografado

    Imagine um desenvolvedor que precisa criar uma função AWS Lambda para upload de documentos em S3 com criptografia do lado do servidor usando uma chave KMS gerenciada pelo cliente. O fluxo aconteceria assim:

    Passo 1: O desenvolvedor descreve os requisitos

    O desenvolvedor comunica ao assistente Cline: “Preciso criar uma função Lambda para fazer upload de arquivos para S3. Os arquivos devem ser criptografados usando uma chave KMS gerenciada pelo cliente. Pode ajudar?”

    Passo 2: O assistente planeja a solução

    O Cline responde descrevendo o plano: criar a função Lambda, configurar integração com S3 com criptografia KMS gerenciada pelo cliente, criar as permissões IAM necessárias e construir a infraestrutura usando CDK.

    Passo 3: O assistente escreve o código Lambda

    O Cline gera o arquivo uploadHandler.js:

    const { S3Client, PutObjectCommand } = require('@aws-sdk/client-s3');
const s3Client = new S3Client({ region: 'us-west-2' });

exports.handler = async (event) => {
  const { fileName, fileContent } = JSON.parse(event.body);
  const putObjectParams = {
    Bucket: process.env.BUCKET_NAME,
    Key: fileName,
    Body: fileContent,
    ServerSideEncryption: 'aws:kms',
    SSEKMSKeyId: process.env.KMS_KEY_ID
  };

  try {
    await s3Client.send(new PutObjectCommand(putObjectParams));
    return {
      statusCode: 200,
      body: JSON.stringify({ message: 'File uploaded successfully' })
    };
  } catch (error) {
    return {
      statusCode: 500,
      body: JSON.stringify({ error: error.message })
    };
  }
};

    Passo 4: O assistente descobre o IAM Policy Autopilot

    O Cline reconhece que precisa criar a função IAM com as permissões corretas e descobre que tem acesso ao MCP server do IAM Policy Autopilot. Invoca a ferramenta solicitando análise do código para gerar políticas.

    Passo 5: A ferramenta analisa e gera a política

    O IAM Policy Autopilot escaneia o código, identifica a chamada PutObjectCommand (API do S3) e, baseado em padrões típicos de uso dos clientes AWS, também sugere permissões de criptografia e permissões de CloudWatch Logs. Gera a seguinte política de acesso:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::*/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:us-west-2:123456789012:*"
    }
  ]
}

    Passo 6: O assistente cria a infraestrutura completa

    Com as permissões geradas, o Cline procede à criação do template CloudFormation com a política fornecida pelo Autopilot. O desenvolvedor recebe uma solução completa pronta para implantação.

    Uso direto via CLI: geração simplificada

    Para quem prefere interação direta com linha de comando, a ferramenta oferece as mesmas capacidades de análise sem necessidade de assistente de IA. Com o arquivo uploadHandler.js existente, basta executar:

    $ iam-policy-autopilot generate-policy --region us-west-2 --account 123456789012 --pretty Users/user/workspace/uploadHandler.js

    O comando produz a mesma política JSON anterior, que pode ser copiada diretamente para templates CloudFormation, AWS CDK ou configurações Terraform. Essa abordagem CLI integra-se naturalmente em fluxos de linha de comando e pipelines de implantação automatizados.

    Boas práticas e considerações importantes

    Comece com as políticas geradas e refine

    O IAM Policy Autopilot gera políticas que priorizam funcionalidade sobre permissões mínimas, assegurando que as aplicações executem com sucesso desde a primeira implantação. Essas políticas representam um ponto de partida sólido que pode ser refinado conforme a aplicação amadurece. Recomenda-se revisar as políticas geradas para garantir alinhamento com requisitos de segurança antes da implantação em produção.

    Compreender o escopo de análise

    O Autopilot destaca-se na identificação de chamadas diretas ao AWS SDK, fornecendo cobertura abrangente de políticas para a maioria dos cenários de desenvolvimento. Porém, há limitações. Se o código chama s3.getObject(bucketName) onde o bucketName é determinado em tempo de execução, o Autopilot atualmente não prevê qual bucket será acessado. Para aplicações usando bibliotecas terceirizadas que envolvem SDKs da AWS, pode ser necessário complementar a análise com revisão manual.

    Atualmente, o IAM Policy Autopilot foca em políticas baseadas em identidade para funções e usuários IAM, mas não cria políticas baseadas em recursos, como políticas de bucket S3 ou políticas de chave KMS.

    Integrar com fluxos IAM existentes

    O Autopilot funciona melhor como parte de uma estratégia IAM abrangente. Use-o para gerar políticas funcionais rapidamente, depois empregue outras ferramentas da AWS para refinamento contínuo. Por exemplo, o AWS IAM Access Analyzer ajuda a identificar permissões não utilizadas ao longo do tempo. Essa combinação cria um fluxo desde implantação rápida até otimização com privilégio mínimo.

    Entender a divisão entre ferramenta e assistente

    O IAM Policy Autopilot gera políticas com ações específicas baseadas em análise determinística. Quando integrado como servidor MCP com um assistente de IA, o assistente recebe essa política e pode modificá-la ao criar templates de infraestrutura como código. Essas mudanças vêm da interpretação do assistente sobre o contexto mais amplo do código, não da análise estática fornecida pelo Autopilot. Sempre revise o conteúdo gerado pelo assistente antes da implantação para verificar conformidade com requisitos de segurança.

    Escolher a abordagem de integração correta

    Use a integração servidor MCP ao trabalhar com assistentes de IA para criação contínua e natural de políticas. A ferramenta CLI funciona bem para processamento em lote ou quando há preferência por interação direta. Ambas oferecem as mesmas capacidades analíticas — a escolha depende das preferências do fluxo de desenvolvimento.

    Conclusão

    O IAM Policy Autopilot transforma o gerenciamento de políticas de acesso de um desafio de desenvolvimento em uma capacidade automatizada que funciona perfeitamente nos fluxos existentes. Ao utilizar análise determinística de código e capacidades de criação de políticas, desenvolvedores conseguem focar na construção de aplicações confiando que possuem as permissões necessárias para executar com sucesso na AWS.

    Seja através da integração servidor MCP com assistentes de IA ou pela abordagem direta de CLI, o Autopilot identifica dependências comuns entre serviços (como operações S3 com criptografia KMS), gera políticas sintaticamente corretas e permanece atualizado conforme o catálogo de serviços da AWS se expande. O resultado prático: ciclos de implantação mais rápidos, menos falhas relacionadas a permissões e maior tempo dedicado à criação de valor ao negócio em vez de depuração de problemas de acesso.

    A ferramenta está disponível agora, sem custo adicional. Para começar, faça o download do repositório GitHub e experimente como a criação automatizada de políticas pode acelerar o desenvolvimento na AWS.

    Fonte

    IAM Policy Autopilot: An open-source tool that brings IAM policy expertise to builders and AI coding assistants (https://aws.amazon.com/blogs/security/iam-policy-autopilot-an-open-source-tool-that-brings-iam-policy-expertise-to-builders-and-ai-coding-assistants/)

  • Amazon SES agora suporta VPC endpoints para APIs

    Segurança aprimorada no Amazon SES com VPC endpoints

    A Amazon Web Services anunciou uma novidade importante para o Simple Email Service (SES): o suporte para acessar endpoints de API através de Virtual Private Cloud (VPC) endpoints. Essa funcionalidade permite que clientes da AWS trabalhem com as APIs do SES de forma mais segura, mantendo o tráfego isolado dentro de suas redes privadas.

    O que muda na prática

    Até agora, empresas que executavam suas aplicações dentro de uma VPC precisavam configurar um Internet Gateway para acessar o SES. Essa abordagem funcionava, mas criava um potencial risco de segurança: o tráfego da VPC era exposto à internet para atingir os endpoints públicos do serviço de email.

    Com os VPC endpoints, esse cenário muda significativamente. As organizações agora conseguem acessar as APIs do SES — utilizadas para enviar emails e gerenciar configurações de recursos — sem necessidade de um Internet Gateway. Isso reduz drasticamente as chances de exposição de atividades da VPC à internet pública.

    Recursos disponíveis e alcance

    Os VPC endpoints para o SES funcionam tanto para operações de envio de emails quanto para gerenciamento de configurações do serviço. A AWS disponibilizou este recurso em todos os AWS Regions onde o SES opera, garantindo consistência global.

    Para equipes interessadas em implementar essa solução em suas infraestruturas, a AWS fornece documentação técnica completa. Mais detalhes sobre como configurar os VPC endpoints com Amazon SES estão disponíveis na documentação oficial.

    Impacto para o setor

    Essa adição reforça o compromisso da AWS em oferecer opções de segurança mais robustas para empresas que utilizam seus serviços. Para organizações em setores regulados ou com requisitos rigorosos de conformidade, a capacidade de manter tráfego sensível isolado dentro de redes privadas é um passo importante na redução de vetores de ataque e exposição potencial de dados.

    Fonte

    Amazon SES adds VPC support for API endpoints (https://aws.amazon.com/about-aws/whats-new/2025/12/amazon-ses-vpc-api-endpoints/)

  • AWS anuncia suporte a vetores de exclusão e linhagem de registros do Apache Iceberg V3

    Novos recursos do Iceberg V3 na AWS

    A AWS anunciou o suporte aos vetores de exclusão e à linhagem de registros conforme definido na especificação Apache Iceberg Version 3 (V3). Esses novos recursos chegam aos serviços Apache Spark no Amazon EMR 7.12, AWS Glue, notebooks Amazon SageMaker, Amazon S3 Tables e ao AWS Glue Data Catalog.

    O que são vetores de exclusão?

    Os vetores de exclusão são arquivos otimizados de exclusão que aceleram significativamente os pipelines de dados e reduzem os custos associados à compactação de dados. Em vez de reescrever dados inteiros durante operações de delete, esse mecanismo permite marcar registros como deletados de forma mais eficiente, especialmente em cenários onde grandes volumes de dados precisam ser modificados.

    Entendendo a linhagem de registros

    A linhagem de registros funciona adicionando campos de metadados a cada registro, permitindo rastrear mudanças com uma consulta SQL simples. Isso elimina a necessidade computacional cara de identificar pequenas alterações em tabelas grandes, tornando muito mais prático auditar e monitorar quais registros foram modificados.

    Benefícios para data lakes em escala

    Juntos, esses recursos do Iceberg V3 ajudam organizações a construir data lakes em escala petabyte com desempenho aprimorado para modificações de dados. A combinação reduz custos operacionais e oferece funcionalidades mais robustas para rastreamento de mudanças de forma nativa.

    Como começar

    Para criar novas tabelas V3, configure a propriedade de tabela como format-version = 3 no comando CREATE TABLE usando Spark ou um notebook SageMaker. Para atualizar tabelas existentes, simplesmente atualize a propriedade de tabela nos metadados com a nova versão de formato. Após essa atualização, os mecanismos de query da AWS que suportam V3 começarão automaticamente a utilizar vetores de exclusão e linhagem de registros.

    Disponibilidade

    Os recursos de vetores de exclusão e linhagem de registros do Iceberg V3 estão disponíveis em todas as regiões AWS onde cada serviço respectivo — Amazon EMR, AWS Glue, notebooks SageMaker, S3 Tables e AWS Glue Data Catalog — é oferecido.

    Saiba mais

    Para aprofundar seu conhecimento sobre o suporte da AWS ao Iceberg V3, consulte a documentação sobre Apache Iceberg V3 na AWS e leia o artigo detalhado sobre aceleração de operações em data lakes com essas novas capacidades.

    Fonte

    AWS announces support for Apache Iceberg V3 deletion vectors and row lineage (https://aws.amazon.com/about-aws/whats-new/2025/11/aws-apache-iceberg-v3-deletion-vectors-row-lineage)

  • Amazon Bedrock passa a suportar Responses API do OpenAI

    Novo Suporte à Responses API do OpenAI no Amazon Bedrock

    A AWS anunciou o suporte à Responses API do OpenAI através de novos endpoints de serviço compatíveis com a API do OpenAI no Amazon Bedrock. Essa integração representa um avanço significativo para desenvolvedores que trabalham com cargas de trabalho de inferência de longa duração e fluxos de trabalho complexos.

    Principais Capacidades da Responses API

    A Responses API do OpenAI, agora disponível no Bedrock, traz funcionalidades que simplificam o desenvolvimento de aplicações baseadas em inteligência artificial. Dentre os principais benefícios estão:

    • Inferência assíncrona: Permite que desenvolvedores processem cargas de trabalho de inferência de longa duração sem bloquear a aplicação.
    • Gerenciamento de contexto automático: Elimina a necessidade de transmitir todo o histórico de conversas com cada requisição, reconstruindo automaticamente o contexto necessário para cada interação.
    • Integração aprimorada de ferramentas: Simplifica a utilização de ferramentas em fluxos de trabalho de agentes autônomos.
    • Gerenciamento de conversas com estado: Mantém o contexto das conversas de forma automática e eficiente.

    Compatibilidade e Modos de Operação

    Os novos endpoints de serviço suportam tanto modo streaming quanto não-streaming, além de viabilizar suporte a esforço de raciocínio dentro da Chat Completions API. Graças à compatibilidade com o SDK do OpenAI, os desenvolvedores precisam apenas alterar a URL base para integrar a solução em codebases existentes, minimizando esforço de migração ou adaptação.

    Project Mantle e Infraestrutura

    O suporte a Chat Completions com esforço de raciocínio está disponível para todos os modelos do Amazon Bedrock alimentados pelo Project Mantle, um novo mecanismo de inferência distribuída desenvolvido para servir modelos de machine learning de grande escala.

    O Project Mantle oferece diversos benefícios para a plataforma Bedrock:

    • Simplifica e acelera a integração de novos modelos ao Amazon Bedrock
    • Fornece inferência serverless altamente performática e confiável com controles sofisticados de qualidade de serviço
    • Desbloqueia quotas padrão mais elevadas para clientes através de gerenciamento automatizado de capacidade e pools unificados
    • Oferece compatibilidade pronta com as especificações da API do OpenAI

    Disponibilidade e Próximos Passos

    O suporte à Responses API está disponível a partir de hoje para os modelos GPT OSS 20B/120B do OpenAI, com suporte a outros modelos previsto para breve. Para começar a utilizar a funcionalidade, desenvolvedores podem consultar a documentação do serviço.

    Fonte

    Amazon Bedrock now supports Responses API from OpenAI (https://aws.amazon.com/about-aws/whats-new/2025/12/amazon-bedrock-responses-api-from-openai/)

  • Amazon Connect agora oferece respostas de email automatizadas usando palavras-chave e frases condicionais

    Automação de respostas por email no Amazon Connect

    A AWS anunciou uma nova capacidade para o Amazon Connect que permite aos times de atendimento automatizar respostas por email e a lógica de roteamento de agentes usando condições baseadas em palavras-chave e frases específicas. Esse recurso se mostra particularmente valioso para organizações que desejam ampliar o atendimento por autoatendimento, minimizar o tempo gasto em processamento manual e aumentar a precisão no direcionamento de mensagens para os agentes corretos.

    Como funciona a automação

    O mecanismo permite que mensagens de email sejam respondidas automaticamente sem necessidade de intervenção humana em cenários onde há correspondência de palavras-chave ou frases predefinidas. Um exemplo prático seria quando um cliente envia um email perguntando sobre disponibilidade de um produto ou consultando o status de uma encomenda — em ambos os casos, uma resposta automática pode ser disparada sem que um agente precise atender manualmente a solicitação.

    Implementação técnica

    Para ativar esse recurso, os administradores precisam incorporar o bloco Get stored content nos fluxos de trabalho do Amazon Connect e complementá-lo com os blocos de fluxo correspondentes, como Check contact attributes e Send message. Essa combinação possibilita configurar tanto as respostas automáticas de email quanto as regras de roteamento conforme necessário.

    Disponibilidade por região

    O serviço de email do Amazon Connect está disponível em um conjunto abrangente de regiões que inclui US East (N. Virginia), US West (Oregon), Africa (Cape Town), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), Asia Pacific (Tokyo), Canada (Central), Europe (Frankfurt) e Europe (London).

    Próximos passos

    Para conhecer os detalhes técnicos completos e iniciar a implementação, consulte a documentação oficial ou acesse o site do Amazon Connect.

    Fonte

    Amazon Connect launches automated email responses using conditional keywords and phrases (https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-connect-automated-email-responses/)

  • Personalização de Modelos Serverless no Amazon SageMaker AI

    Novo recurso de personalização serverless no SageMaker AI

    A AWS anunciou uma nova capacidade de personalização de modelos serverless no Amazon SageMaker AI, que capacita desenvolvedores de IA a customizarem rapidamente modelos populares com técnicas como fine-tuning supervisionado e aprendizado por reforço. O Amazon SageMaker AI é um serviço totalmente gerenciado que reúne um amplo conjunto de ferramentas para viabilizar desenvolvimento de modelos de IA de alto desempenho e baixo custo, adequado para qualquer caso de uso.

    Desafios na customização de modelos

    Muitos desenvolvedores de IA buscam customizar modelos com dados proprietários para melhorar a precisão, porém esse processo frequentemente envolve longos ciclos de iteração. Tradicionalmente, o fluxo de trabalho exigia múltiplas etapas: definir um caso de uso, preparar dados, selecionar o modelo e a técnica de customização, treinar o modelo e, finalmente, avaliar para deployement em produção.

    Com essa nova capacidade, a AWS simplifica todo o fluxo de trabalho de customização de modelos, desde a preparação de dados até avaliação e deployement, acelerando significativamente o processo.

    Capacidades e modelos suportados

    Por meio de uma interface intuitiva, desenvolvedores de IA podem agora personalizar rapidamente modelos populares, incluindo Amazon Nova, Llama, Qwen, DeepSeek e GPT-OSS com seus próprios dados. A plataforma oferece suporte a técnicas como fine-tuning supervisionado e abordagens mais avançadas de customização, incluindo aprendizado por reforço e otimização de preferência direta.

    Além disso, desenvolvedores podem utilizar o fluxo de trabalho guiado por agente de IA (em preview), permitindo usar linguagem natural para gerar dados sintéticos, analisar qualidade de dados e gerenciar treinamento e avaliação do modelo — tudo de forma totalmente serverless.

    Disponibilidade e próximos passos

    O novo recurso está disponível nas seguintes regiões AWS: Europe (Ireland), US East (N. Virginia), Asia Pacific (Tokyo) e US West (Oregon).

    Para acessar o fluxo de trabalho guiado por agente de IA, desenvolvedores podem se registrar na página de inscrição na waitlist.

    Mais informações estão disponíveis na página de customização de modelos do SageMaker AI e no blog da AWS.

    Fonte

    New serverless model customization capability in Amazon SageMaker AI (https://aws.amazon.com/about-aws/whats-new/2025/12/new-serverless-model-customization-capability-amazon-sagemaker-ai)

  • Amazon RDS e Aurora agora oferecem tags de recursos para backups automatizados

    Etiquetagem de backups automatizados no RDS e Aurora

    A AWS expandiu as capacidades de gerenciamento de recursos nos serviços RDS (Relational Database Service) e Aurora. Agora é possível atribuir tags aos backups automatizados independentemente da instância ou cluster de banco de dados de origem. Essa mudança oferece mais flexibilidade para organizar, controlar e rastrear a infraestrutura de dados na nuvem.

    O que muda com as tags de backups automatizados

    Anteriormente, as tags estavam vinculadas apenas à instância ou cluster pai. Com esse novo recurso, os backups ganham autonomia na etiquetagem. Isso significa que você pode aplicar diferentes conjuntos de tags aos backups automatizados, criando uma estrutura mais granular de controle e organização.

    Como utilizar as tags

    A etiquetagem pode ser realizada por meio do AWS Management Console, da API ou do SDK. Uma vez aplicadas as tags aos backups, elas funcionam como critério para políticas IAM, permitindo controle de acesso baseado em atributos (ABAC — Attribute-Based Access Control). Com isso, você define quem pode descrever, deletar ou restaurar backups específicos com base nas tags associadas.

    Benefícios práticos de gerenciamento

    As tags funcionam como categorias para organizar recursos por aplicação, projeto, departamento, ambiente ou qualquer outra dimensão relevante para seu negócio. Um exemplo prático: você pode criar tags específicas de aplicação para controlar permissões sobre os backups dessa aplicação e, simultaneamente, rastrear quanto ela está custando em termos de armazenamento de backups.

    Esse nível de granularidade simplifica o rastreamento de custos e o gerenciamento de permissões, especialmente em ambientes com múltiplas equipes ou aplicações compartilhando a mesma infraestrutura.

    Disponibilidade e documentação

    O recurso está disponível em todas as regiões AWS, incluindo as regiões AWS GovCloud (US). Para aprofundar-se na implementação, a AWS oferece documentação completa sobre etiquetagem de recursos do Amazon Aurora e etiquetagem de recursos do Amazon RDS, além de um guia sobre como usar tags para controle de acesso baseado em atributos.

    Fonte

    Amazon RDS and Aurora now support resource tagging for Automated Backups (https://aws.amazon.com/about-aws/whats-new/2025/12/rds-aurora-resource-tagging-automated-backups/)

  • Integração com dados S&P Global expande as capacidades do Amazon Quick Research

    Uma integração estratégica para pesquisa mais eficiente

    A AWS anunciou uma nova integração entre o Amazon Quick Research e a S&P Global. Esta integração oferece aos clientes do Quick Research acesso tanto aos dados de energia, pesquisa e insights da S&P Global quanto à inteligência de mercado da empresa, tudo consolidado em um único agente de pesquisa profundo.

    A integração com a S&P Global expande significativamente as capacidades do Quick Research, permitindo que profissionais de negócios analisem múltiplas fontes de dados — incluindo notícias globais de energia e inteligência financeira premium — em um único espaço de trabalho. O resultado prático é a eliminação da necessidade de alternar entre plataformas diferentes, transformando semanas de pesquisa em minutos de geração de insights focados.

    O Quick Suite, que integra informações de repositórios internos, aplicações populares, serviços da AWS e, através do Protocolo de Contexto de Modelo (MCP), conexões com mais de 1.000 aplicativos, está reformulando como o trabalho é executado. Esta aplicação de IA agentica transforma a forma como equipes encontram insights, conduzem pesquisas profundas, automatizam tarefas, visualizam dados e executam ações entre diferentes aplicativos.

    A arquitetura da solução

    Implementações MCP inovadoras

    A S&P Global desenvolveu duas implementações de servidor MCP na AWS, permitindo que organizações integrem facilmente conteúdo confiável de serviços financeiros e energia em fluxos de trabalho alimentados por IA. A abordagem mantém a qualidade, segurança e confiabilidade que líderes de negócios exigem.

    S&P Global Energy: inteligência abrangente em commodities e energia

    A integração S&P Global Energy, agora disponível no Amazon Quick Research, utiliza um servidor MCP de Dados Prontos para IA para entregar acesso abrangente à inteligência de mercado de commodities e energia. Essa inteligência abrange setores de Óleo, Gás, Energia, Metais, Energia Limpa, Agricultura e Transporte Marítimo em mercados globais.

    Construída sobre a reputação da S&P Global como autoridade confiável de mercado, a solução utiliza centenas de milhares de documentos criados por especialistas — incluindo análises, comentários e artigos de notícias — que refletem décadas de expertise industrial. A solução oferece uma perspectiva única multihorizontal, proporcionando inteligência desde atualizações diárias de mercado até projeções de um ano, estendendo-se a análises de cenários de 20 anos ou mais.

    Com dados atualizando a cada 30 minutos, líderes de negócios ganham acesso quase em tempo real à inteligência de commodities e energia, acelerando dramaticamente a velocidade de decisão ao explorar desafios regulatórios, oportunidades de investimento ou implicações ambientais.

    S&P Global Market Intelligence: inteligência financeira confiável

    A integração S&P Global Market Intelligence, também disponível no Amazon Quick Research, utiliza o servidor MCP de API pronta para LLM desenvolvido pela Kensho, o hub de inovação em IA da S&P Global. Este servidor MCP torna dados financeiros confiáveis acessíveis através de consultas em linguagem natural, integrando-se perfeitamente ao Amazon Quick Research.

    Profissionais de finanças podem acessar S&P Capital IQ Financials, transcrições de chamadas de resultados, informações de empresas, transações e muito mais, simplesmente fazendo perguntas. A solução Kensho aborda um desafio crítico em serviços financeiros: tornar repositórios vastos de dados financeiros imediatamente acessíveis sem exigir linguagens de consulta complexas ou expertise técnica.

    Equipes de engenharia, produto e negócios economizam tempo e recursos significativos ao transformar o que antes exigia horas de extração de dados em consultas conversacionais que retornam informações precisas e confiáveis em segundos.

    Detalhes técnicos da implementação

    Fluxo de arquitetura

    Quando usando uma das integrações S&P, o tráfego flui do Quick Research através do Amazon API Gateway para um Balanceador de Carga de Aplicação AWS com os serviços MCP hospedados no Amazon Elastic Kubernetes Service (Amazon EKS). O servidor MCP utiliza dados hospedados no Amazon S3 e no Serviço de Banco de Dados Relacional AWS para PostgreSQL para dados estruturados, e no Amazon OpenSearch Service para armazenamento vetorial. Esta arquitetura oferece servidores MCP prontos para empresas com segurança em profundidade, dimensionamento automatizado e observabilidade abrangente.

    O MCP é um padrão aberto que suporta comunicação perfeita entre agentes de IA e fontes de dados externas, ferramentas e serviços. Opera em uma arquitetura cliente-servidor em que servidores MCP tratam chamadas de ferramentas — normalmente compostas por múltiplas chamadas de API — e expõem implementações de lógica de negócios como funções chamáveis. Isso permite que agentes de IA descubram capacidades dinamicamente, negociem recursos e compartilhem contexto de forma segura, atendendo a todos os requisitos críticos para aplicações de nível empresarial.

    Componentes principais da solução

    Pipeline automatizado de dados com Amazon Bedrock: No coração da solução está um pipeline de ingestão de dados de Geração Aumentada por Recuperação (RAG) usando o Amazon Bedrock. Este pipeline transforma dados brutos de mercado em Dados Prontos para IA. Documentos dos repositórios proprietários da S&P Global passam por pré-processamento, fragmentação e enriquecimento antes de serem convertidos em embeddings vetoriais usando o modelo Cohere Embed hospedado em Bedrock. O pipeline de ingestão executa em base agendada, atualizando o armazenamento vetorial OpenSearch a cada 30 minutos para acesso quase em tempo real aos dados de energia.

    Busca vetorial e semântica: O Amazon OpenSearch serve como banco de dados vetorial, armazenando embeddings gerados pelo Bedrock e habilitando capacidades de busca semântica nos dados de energia da S&P Global. O armazenamento vetorial OpenSearch é otimizado para operações vetoriais de alta dimensionalidade, suportando buscas de similaridade rápidas que potencializam a capacidade dos servidores MCP de recuperar informações contextualmente relevantes em resposta a consultas em linguagem natural.

    Resiliência e escala: A solução utiliza Amazon EKS para hospedar todas as soluções de servidor MCP com dois clusters de produção habilitando divisão de tráfego e capacidades de failover. Esta abordagem de cluster duplo oferece disponibilidade contínua mesmo durante falhas inesperadas. Tanto o Cluster Autoscaler quanto o Horizontal Pod Autoscaler habilitam dimensionamento dinâmico baseado em demanda. Os servidores MCP são construídos com o framework FastMCP, oferecendo endpoints HTTP de alto desempenho que em conformidade com a especificação de Transporte HTTP Fluxível exigida pelo protocolo MCP.

    Segurança em camadas: A segurança é integrada em cada camada da solução. O API Gateway serve como endpoint para acesso ao servidor MCP. O provedor de identidade empresarial da S&P Global é utilizado para autenticação OAuth. O API Gateway é ainda protegido com o Firewall de Aplicação Web AWS (WAF) com detecção avançada de ameaças. As funções e políticas do AWS IAM impõem princípios de privilégio mínimo, garantindo que cada componente tenha apenas as permissões que necessita. O AWS Secrets Manager armazena de forma segura credenciais para acessar recursos e serviços AWS. Os Grupos de Segurança AWS e as configurações de VPC oferecem isolamento de rede, enquanto TLS 1.2+ com o AWS Certificate Manager valida que todos os dados em trânsito permanecem criptografados. Essa segurança multicamada inclui controles de segurança em profundidade.

    Observabilidade: O Amazon CloudWatch oferece registro centralizado, coleta de métricas e monitoramento em tempo real de todo o pipeline, desde ingestão de dados até respostas de servidor MCP. O AWS CloudTrail captura logs de atividade de API detalhados e trilhas de auditoria, essenciais para conformidade em indústrias reguladas.

    Conclusão

    Juntos, esses servidores MCP construídos na AWS e integrados ao Amazon Quick Research demonstram a visão da S&P Global para o futuro de serviços financeiros e inteligência de energia: manter a confiança, precisão e profundidade que líderes de negócios exigem enquanto abraçam o potencial transformador da IA para tornar essa inteligência mais acessível, acionável e integrada em fluxos de trabalho modernos.

    Próximos passos

    Para mais detalhes sobre como começar, consulte a documentação de Dados de Terceiros do Quick Research.

    Fonte

    S&P Global Data integration expands Amazon Quick Research capabilities (https://aws.amazon.com/blogs/machine-learning/sp-global-data-integration-expands-amazon-quick-research-capabilities/)

  • AWS Transform for Mainframe agora suporta reimaginação de aplicações legadas

    Novas capacidades para modernização de mainframes

    A AWS anunciou expansão significativa do AWS Transform for Mainframe com funcionalidades dedicadas à reimaginação de aplicações. O serviço agora entrega recursos avançados de análise de dados e atividades, permitindo que as organizações extraiam insights abrangentes que conduzem à modernização de aplicações mainframe. Esses insights podem ser combinados com extração de lógica de negócio para orientar a decomposição de sistemas legados em domínios de negócio bem definidos.

    Fluxo completo de engenharia reversa

    O AWS Transform for Mainframe oferece um fluxo de trabalho abrangente que abrange análise automatizada de código e estruturas de dados, análise de atividades, geração de documentação técnica, extração de lógica de negócio e decomposição inteligente de código. Juntos, esses componentes formam a base de uma especificação técnica robusta que pode ser utilizada por agentes de código com inteligência artificial, como o Kiro, para reimaginar aplicações em arquiteturas nativas em nuvem.

    Análise profunda para decisões arquiteturais

    Através de análise detalhada de dados e atividades, o AWS Transform identifica componentes de aplicação com alta utilização ou valor de negócio. Essa capacidade permite que as equipes otimizem seus esforços de modernização e tomem decisões arquiteturais baseadas em dados concretos, em vez de suposições.

    Interface interativa com flexibilidade

    A plataforma oferece uma interface de chat alimentada por inteligência artificial onde os usuários podem personalizar sua abordagem de modernização. Através de planos de trabalho flexíveis, é possível escolher entre fluxos predefinidos—modernização completa, foco em análise ou foco em lógica de negócio—ou criar uma combinação customizada de capacidades alinhada aos objetivos específicos da organização.

    Disponibilidade em múltiplas regiões

    As capacidades de reimaginação no AWS Transform for Mainframe estão disponíveis em oito regiões da AWS: US East (N. Virginia), Ásia-Pacífico (Mumbai, Seul, Sydney e Tóquio), Canadá (Central) e Europa (Frankfurt e Londres).

    Saiba mais

    Para explorar em detalhes como reimaginar aplicações mainframe com o AWS Transform, consulte o artigo publicado no blog da AWS ou visite a página do produto AWS Transform.

    Fonte

    AWS Transform for mainframe now supports application reimagining (https://aws.amazon.com/about-aws/whats-new/2025/12/transform-mainframe-application-reimagining/)