Acht Angriffsvektoren in AWS Bedrock entdeckt, AI-Infrastruktur ist die neue Frontlinie
XM Cyber hat acht validierte Angriffspfade in AWS Bedrock aufgezeigt, von Agentenübernahme über Wissensabfluss bis zur Schwächung von Guardrails. Das eigentliche Risiko liegt in der Infrastruktur um das Modell.
Warum das wichtig ist
AWS Bedrock verbindet Foundation Models direkt mit Unternehmensdaten, Wissensquellen, Lambda-Funktionen und Workflows. Genau diese Reichweite macht die Plattform nützlich, aber auch gefährlich. Wenn ein Angreifer eine überprivilegierte Identität übernimmt, ist nicht nur das Modell betroffen, sondern die ganze AI-Laufzeitumgebung.
Die acht Angriffsvektoren
- Modell-Logging missbrauchen, um Prompts in ein fremdes S3-Bucket umzuleiten oder Spuren von Jailbreaks zu löschen.
- RAG-Datenquellen direkt lesen und sensible Unternehmensdaten ohne das Modell selbst abziehen.
- Offengelegte Zugangsdaten für Vektor-Datenspeicher wie Pinecone oder Redis ausnutzen und Indizes administrativ übernehmen.
- Agenten-Prompts und Action Groups verändern, damit legitime Agenten bösartige Aktionen ausführen.
- Unterstützende Lambda-Funktionen kompromittieren und so Tool-Aufrufe unsichtbar manipulieren oder Daten exfiltrieren.
- Bedrock Flows mit zusätzlichen Knoten erweitern und sensible Eingaben an Angreifer-Endpunkte umleiten.
- Guardrails abschwächen oder löschen, bis Prompt Injection, toxische Inhalte und PII wieder ungefiltert durchkommen.
- Verwaltete Prompt-Templates im laufenden Betrieb vergiften, ohne einen sichtbaren Redeploy auszulösen.
Kernaussage
Das Modell ist hier nicht das Primärziel. Angegriffen werden IAM-Rechte, Konfigurationen, Datenpfade und Integrationen rund um die AI-Anwendung. Wer nur über Prompt Injection spricht, verpasst den eigentlichen Cloud-Angriffsraum.
Kritischer Befund
Eine einzige überprivilegierte IAM-Identität kann Logging, Agenten, Flows, Prompts und Wissenszugriffe gleichzeitig kompromittieren. Viele Teams sehen diese Pfade heute überhaupt nicht.
Sofortmaßnahmen für Security-Teams
- Bedrock-, Lambda- und S3-Rechte strikt nach Least Privilege begrenzen.
- Änderungen an Logging-Konfigurationen und Guardrails aktiv alarmieren.
- Zugangsdaten für Datenquellen und Datenspeicher in Secrets Manager mit Rotation halten.
- UpdateAgent und CreateAgentActionGroup nur über kontrollierte CI/CD-Pfade zulassen.
- Prompts wie Code behandeln, inklusive Review, Freigabe und Audit Trail.
- Den AI-Angriffsraum von Workloads zu kritischen Assets vollständig kartieren.
- Guardrails regelmäßig testen, damit Konfigurationsänderungen sie nicht still aushebeln.
NIS2- und DORA-Relevanz
Für EU-Organisationen ist das direkt regulatorisch relevant. NIS2 verlangt Lieferketten-Risikomanagement und Meldung signifikanter Vorfälle. DORA fordert, dass Finanzunternehmen digitale Abhängigkeiten, inklusive AI-Automatisierung, erfassen und testen. Bedrock-Deployments gehören damit in jede saubere Risikoanalyse.