剣 KENSAI
← All posts · security · 2026-01-01 · 3 min

Acht Angriffsvektoren in AWS Bedrock entdeckt — KI-Infrastruktur als neue Frontlinie

XM-Cyber-Forscher haben acht validierte Angriffspfade in AWS Bedrock identifiziert, mit denen Angreifer KI-Agenten kapern, Prompts vergiften, Wissensbanken stehlen und Sicherheits-Guardrails umgehen können — ganz ohne das Modell selbst anzugreifen.


🔍 Warum das wichtig ist

AWS Bedrock ist Amazons Flaggschiff-Plattform für KI-gestützte Anwendungen. Sie verbindet Foundation-Modelle direkt mit Unternehmensdaten — Salesforce-Instanzen, SharePoint-Bibliotheken, Lambda-Funktionen, S3-Buckets. Diese Konnektivität macht die Plattform leistungsstark — und zum Angriffsziel.

Wenn ein KI-Agent Ihr CRM abfragen, serverlose Funktionen auslösen oder auf eine Wissensdatenbank zugreifen kann, wird er zu einem Knoten in Ihrer Infrastruktur mit Berechtigungen, Erreichbarkeit und Pfaden zu kritischen Assets.

⚡ Die acht Angriffsvektoren

1. Angriffe auf Modell-Aufrufprotokolle

Bedrock protokolliert jede Modellinteraktion. Angreifer können Protokolle auf von ihnen kontrollierte S3-Buckets umleiten und so jeden Prompt abfangen. Eine zweite Variante löscht forensische Spuren.

2. Angriffe auf Knowledge-Base-Datenquellen

RAG-verbundene Datenquellen (S3, Salesforce, SharePoint) sind direkt erreichbar. Ein Angreifer kann das Modell umgehen und rohe Unternehmensdaten direkt extrahieren. Gestohlene Zugangsdaten ermöglichen laterale Bewegung in Active Directory.

3. Angriffe auf Knowledge-Base-Datenspeicher

Vektordatenbanken wie Pinecone und Redis speichern indexiertes Wissen. Offengelegte Credentials in der StorageConfiguration gewähren Angreifern vollen administrativen Zugriff auf alle Vektorindizes.

4. Direkte Agent-Angriffe

Mit bedrock:UpdateAgent-Berechtigungen können Angreifer den Basis-Prompt eines Agenten umschreiben, um interne Anweisungen und Tool-Schemas offenzulegen.

5. Indirekte Agent-Angriffe

Statt die Agent-Konfiguration anzugreifen, zielen Angreifer auf unterstützende Lambda-Funktionen. Sie injizieren bösartigen Code in die Tool-Aufrufe, auf die Agenten angewiesen sind.

6. Flow-Injection-Angriffe

Bedrock-Flows definieren mehrstufige KI-Workflows. Angreifer können Sidecar-Knoten injizieren und sensible Eingaben an Angreifer-Endpoints routen, ohne die Anwendungslogik zu unterbrechen.

7. Guardrail-Degradation

Guardrails filtern toxische Inhalte und blockieren Prompt-Injection. Angreifer können Schwellenwerte systematisch senken oder Guardrails vollständig löschen.

8. Managed-Prompt-Poisoning

Angreifer können Prompt-Templates im laufenden Betrieb modifizieren — Änderungen lösen kein Redeployment aus, was die Erkennung extrem erschwert.

🎯 Kernaussage: Nicht das Modell ist das Ziel

Alle acht Vektoren folgen einem gemeinsamen Muster: Angreifer zielen auf die Berechtigungen, Konfigurationen und Integrationen rund um das Modell — nicht auf das Modell selbst.

⚠️ Kritischer Befund

Eine einzige überprivilegierte IAM-Identität reicht aus, um Protokolle umzuleiten, Agenten zu kapern, Prompts zu vergiften und von Bedrock aus auf On-Premises-Systeme zuzugreifen.

🛡️ Sofortmaßnahmen für Sicherheitsteams

  1. Bedrock-IAM-Richtlinien prüfen — Least-Privilege auf alle bedrock:*, lambda:* und s3:*-Berechtigungen anwenden
  2. Log-Konfigurationsänderungen überwachen — Alarmierung bei allen PutModelInvocationLoggingConfiguration-Aufrufen
  3. Credentials verschlüsseln und rotieren — AWS Secrets Manager mit automatischer Rotation verwenden
  4. Agent-Konfigurationen sperren — UpdateAgent und CreateAgentActionGroup nur für CI/CD-Pipelines freigeben
  5. Prompts versionieren — Managed Prompts wie Code behandeln: Review, Genehmigung und Audit-Trails
  6. KI-Angriffsfläche kartieren — Alle Pfade von KI-Workloads zu kritischen Assets identifizieren
  7. Guardrail-Resilienz testen — Regelmäßig verifizieren, dass Guardrails nicht durch Konfigurationsänderungen geschwächt werden können

📊 NIS2- und DORA-Implikationen

Für EU-Organisationen haben diese Erkenntnisse direkte regulatorische Auswirkungen. NIS2 verlangt Supply-Chain-Risikomanagement und Meldung signifikanter Vorfälle. Die Kompromittierung von KI-Infrastruktur über Cloud-Dienste fällt eindeutig in den Geltungsbereich.