在 Amazon Braket SDK 中发现了一个严重的安全漏洞，影响版本 1.10.0 至 1.116.9。该漏洞被标识为 CVE-2026-9291，涉及作业结果处理中的不安全反序列化问题。deserialize_values() 函数错误地信任 JSON 文件中的 dataFormat 字段。该字段控制是否使用 pickle.loads() 处理数据。拥有 S3 写入权限的攻击者可利用此缺陷，通过操纵 dataFormat 字段触发任意代码执行。具体而言，攻击者可将格式更改为 pickled_v4 并注入恶意代码。这使得远程认证用户能够在处理作业结果的机器上执行代码，可能导致分析量子作业输出的系统遭到 compromise。强烈建议用户查阅提供的文章以获取全面详情。必须立即采取行动以应对这一重大安全风险。