Ocho vectores de ataque encontrados en AWS Bedrock, la infraestructura de IA ya es la nueva línea del frente
XM Cyber identificó ocho rutas de ataque validadas en AWS Bedrock, desde secuestro de agentes hasta robo de bases de conocimiento y degradación de guardrails. El riesgo real está en la infraestructura que rodea al modelo.
Por qué importa
AWS Bedrock conecta modelos fundacionales con datos empresariales, funciones Lambda, flujos y bases de conocimiento. Eso acelera la automatización, pero también convierte al entorno de IA en una extensión de la infraestructura crítica. Una identidad con permisos excesivos puede abrir muchas más puertas que el propio modelo.
Los ocho vectores de ataque
- Redirigir el logging del modelo a buckets S3 controlados por el atacante o borrar evidencias.
- Leer directamente fuentes RAG y extraer datos sensibles sin pasar por el modelo.
- Aprovechar credenciales expuestas en Pinecone, Redis o Aurora para tomar control del almacén vectorial.
- Modificar prompts base y action groups de agentes para ejecutar acciones maliciosas con apariencia legítima.
- Alterar funciones Lambda de soporte y manipular llamadas de herramientas sin ser detectado.
- Inyectar nodos en Bedrock Flows y desviar entradas sensibles hacia endpoints externos.
- Debilitar o eliminar guardrails hasta permitir prompt injection, contenido tóxico y fuga de PII.
- Envenenar plantillas de prompts gestionados en caliente sin necesidad de redeploy.
Idea clave
El modelo no es el objetivo principal. Los atacantes van por permisos IAM, configuraciones, flujos de datos e integraciones alrededor de la aplicación de IA. Hablar solo de prompt injection es quedarse corto frente a la superficie real de la nube.
Hallazgo crítico
Una sola identidad IAM sobreprivilegiada puede comprometer logs, agentes, flows, prompts y accesos a conocimiento al mismo tiempo. Muchas organizaciones ni siquiera tienen visibilidad de esas rutas.
Acciones inmediatas
- Aplicar mínimo privilegio en Bedrock, Lambda y S3.
- Alertar cualquier cambio en logging y guardrails.
- Guardar credenciales en Secrets Manager con rotación automática.
- Restringir UpdateAgent y CreateAgentActionGroup a pipelines CI/CD controlados.
- Tratar los prompts como código con revisión y auditoría.
- Mapear todas las rutas desde cargas de IA hasta activos críticos.
- Probar periódicamente que los guardrails no puedan debilitarse por configuración.
Implicaciones para NIS2 y DORA
Para organizaciones europeas, esto tiene impacto regulatorio directo. NIS2 exige gestionar riesgo de cadena de suministro y reportar incidentes significativos. DORA obliga a las entidades financieras a mapear y probar dependencias digitales, incluyendo automatizaciones basadas en IA.