Acht Angriffsvektoren in AWS Bedrock entdeckt — KI-Infrastruktur als neue Frontlinie
XM-Cyber-Forscher haben acht validierte Angriffspfade in AWS Bedrock identifiziert, mit denen Angreifer KI-Agenten kapern, Prompts vergiften, Wissensbanken stehlen und Sicherheits-Guardrails umgehen können — ganz ohne das Modell selbst anzugreifen.
🔍 Warum das wichtig ist
AWS Bedrock ist Amazons Flaggschiff-Plattform für KI-gestützte Anwendungen. Sie verbindet Foundation-Modelle direkt mit Unternehmensdaten — Salesforce-Instanzen, SharePoint-Bibliotheken, Lambda-Funktionen, S3-Buckets. Diese Konnektivität macht die Plattform leistungsstark — und zum Angriffsziel.
Wenn ein KI-Agent Ihr CRM abfragen, serverlose Funktionen auslösen oder auf eine Wissensdatenbank zugreifen kann, wird er zu einem Knoten in Ihrer Infrastruktur mit Berechtigungen, Erreichbarkeit und Pfaden zu kritischen Assets.
⚡ Die acht Angriffsvektoren
1. Angriffe auf Modell-Aufrufprotokolle
Bedrock protokolliert jede Modellinteraktion. Angreifer können Protokolle auf von ihnen kontrollierte S3-Buckets umleiten und so jeden Prompt abfangen. Eine zweite Variante löscht forensische Spuren.
2. Angriffe auf Knowledge-Base-Datenquellen
RAG-verbundene Datenquellen (S3, Salesforce, SharePoint) sind direkt erreichbar. Ein Angreifer kann das Modell umgehen und rohe Unternehmensdaten direkt extrahieren. Gestohlene Zugangsdaten ermöglichen laterale Bewegung in Active Directory.
3. Angriffe auf Knowledge-Base-Datenspeicher
Vektordatenbanken wie Pinecone und Redis speichern indexiertes Wissen. Offengelegte Credentials in der StorageConfiguration gewähren Angreifern vollen administrativen Zugriff auf alle Vektorindizes.
4. Direkte Agent-Angriffe
Mit bedrock:UpdateAgent-Berechtigungen können Angreifer den Basis-Prompt eines Agenten umschreiben, um interne Anweisungen und Tool-Schemas offenzulegen.
5. Indirekte Agent-Angriffe
Statt die Agent-Konfiguration anzugreifen, zielen Angreifer auf unterstützende Lambda-Funktionen. Sie injizieren bösartigen Code in die Tool-Aufrufe, auf die Agenten angewiesen sind.
6. Flow-Injection-Angriffe
Bedrock-Flows definieren mehrstufige KI-Workflows. Angreifer können Sidecar-Knoten injizieren und sensible Eingaben an Angreifer-Endpoints routen, ohne die Anwendungslogik zu unterbrechen.
7. Guardrail-Degradation
Guardrails filtern toxische Inhalte und blockieren Prompt-Injection. Angreifer können Schwellenwerte systematisch senken oder Guardrails vollständig löschen.
8. Managed-Prompt-Poisoning
Angreifer können Prompt-Templates im laufenden Betrieb modifizieren — Änderungen lösen kein Redeployment aus, was die Erkennung extrem erschwert.
🎯 Kernaussage: Nicht das Modell ist das Ziel
Alle acht Vektoren folgen einem gemeinsamen Muster: Angreifer zielen auf die Berechtigungen, Konfigurationen und Integrationen rund um das Modell — nicht auf das Modell selbst.
⚠️ Kritischer Befund
Eine einzige überprivilegierte IAM-Identität reicht aus, um Protokolle umzuleiten, Agenten zu kapern, Prompts zu vergiften und von Bedrock aus auf On-Premises-Systeme zuzugreifen.
🛡️ Sofortmaßnahmen für Sicherheitsteams
- Bedrock-IAM-Richtlinien prüfen — Least-Privilege auf alle bedrock:*, lambda:* und s3:*-Berechtigungen anwenden
- Log-Konfigurationsänderungen überwachen — Alarmierung bei allen PutModelInvocationLoggingConfiguration-Aufrufen
- Credentials verschlüsseln und rotieren — AWS Secrets Manager mit automatischer Rotation verwenden
- Agent-Konfigurationen sperren — UpdateAgent und CreateAgentActionGroup nur für CI/CD-Pipelines freigeben
- Prompts versionieren — Managed Prompts wie Code behandeln: Review, Genehmigung und Audit-Trails
- KI-Angriffsfläche kartieren — Alle Pfade von KI-Workloads zu kritischen Assets identifizieren
- Guardrail-Resilienz testen — Regelmäßig verifizieren, dass Guardrails nicht durch Konfigurationsänderungen geschwächt werden können
📊 NIS2- und DORA-Implikationen
Für EU-Organisationen haben diese Erkenntnisse direkte regulatorische Auswirkungen. NIS2 verlangt Supply-Chain-Risikomanagement und Meldung signifikanter Vorfälle. Die Kompromittierung von KI-Infrastruktur über Cloud-Dienste fällt eindeutig in den Geltungsbereich.