Huit vecteurs d’attaque découverts dans AWS Bedrock, l’infrastructure IA devient la nouvelle ligne de front
XM Cyber a cartographié huit chemins d’attaque validés dans AWS Bedrock, du détournement d’agents au vol de bases de connaissances et à l’affaiblissement des guardrails. Le vrai risque se trouve autour du modèle.
Pourquoi c’est important
AWS Bedrock relie directement les modèles de fondation aux données d’entreprise, aux bases de connaissances, aux fonctions Lambda et aux workflows. C’est ce qui rend la plateforme puissante, mais aussi exposée. Une identité sur-privilégiée suffit pour transformer l’agent IA en point d’entrée vers des actifs critiques.
Les huit vecteurs d’attaque
- Détourner la journalisation des invocations de modèle vers un bucket S3 contrôlé par l’attaquant ou effacer les traces.
- Lire directement les sources RAG et exfiltrer des données d’entreprise sans toucher au modèle.
- Exploiter des identifiants exposés dans Pinecone, Redis ou Aurora pour prendre le contrôle des index vectoriels.
- Modifier les prompts d’agents et leurs action groups afin d’exécuter des opérations malveillantes sous couvert légitime.
- Compromettre les fonctions Lambda de support et altérer les appels d’outils de manière invisible.
- Injecter des nœuds dans Bedrock Flows pour rediriger des entrées sensibles vers l’extérieur.
- Dégrader ou supprimer les guardrails jusqu’à réouvrir la porte à l’injection de prompts et aux fuites de PII.
- Empoisonner les templates de prompts gérés à chaud, sans redéploiement visible.
Point clé
Le modèle n’est pas la cible principale. Les attaquants visent les permissions IAM, les configurations, les flux de données et les intégrations autour de l’IA. Une stratégie focalisée uniquement sur le prompt injection passe à côté du vrai périmètre cloud.
Constat critique
Une seule identité IAM trop permissive peut compromettre simultanément les logs, les agents, les flows, les prompts et les accès aux connaissances. Beaucoup d’équipes n’ont aucune visibilité sur ces chemins.
Actions immédiates
- Appliquer le moindre privilège sur Bedrock, Lambda et S3.
- Déclencher des alertes sur les changements de logs et de guardrails.
- Stocker et faire tourner les secrets via AWS Secrets Manager.
- Limiter UpdateAgent et CreateAgentActionGroup aux pipelines CI/CD contrôlés.
- Versionner les prompts comme du code avec revue et approbation.
- Cartographier tous les chemins entre workloads IA et actifs critiques.
- Tester régulièrement la résilience des guardrails.
Impact NIS2 et DORA
Pour les organisations européennes, ces résultats ont un impact réglementaire immédiat. NIS2 impose la gestion du risque supply chain et la notification d’incidents significatifs. DORA exige que les entités financières documentent et testent leurs dépendances numériques, y compris les automatisations IA.