剣 KENSAI
← All posts · security · 2026-04-09 · 3 min

AWS Bedrock में 8 अटैक वेक्टर मिले, AI इंफ्रास्ट्रक्चर अब नई फ्रंटलाइन है

XM Cyber ने AWS Bedrock के भीतर आठ सत्यापित अटैक पाथ दिखाए हैं, एजेंट हाईजैकिंग से लेकर नॉलेज बेस चोरी और गार्डरेल कमजोर करने तक. असली खतरा मॉडल के आसपास की इंफ्रास्ट्रक्चर लेयर में है.


यह क्यों महत्वपूर्ण है

AWS Bedrock फाउंडेशन मॉडल्स को एंटरप्राइज डेटा, नॉलेज बेस, Lambda फ़ंक्शन्स और वर्कफ़्लो से सीधे जोड़ता है. यही इसकी ताकत है, और यही इसका जोखिम भी है. अगर कोई ओवर-प्रिविलेज्ड आइडेंटिटी हाथ लग जाए, तो अटैकर पूरे AI स्टैक के रास्ते खोल सकता है.

आठ अटैक वेक्टर

  • मॉडल लॉगिंग को अटैकर के S3 बकेट की ओर मोड़ना या सबूत मिटाना.
  • RAG डेटा सोर्स को सीधे पढ़कर मॉडल को बायपास करते हुए संवेदनशील डेटा निकालना.
  • Pinecone, Redis या Aurora जैसे वेक्टर स्टोर्स के एक्सपोज्ड क्रेडेंशियल्स का दुरुपयोग करना.
  • एजेंट के बेस प्रॉम्प्ट और action groups बदलकर वैध एजेंट से दुर्भावनापूर्ण काम करवाना.
  • सपोर्टिंग Lambda फ़ंक्शन्स में छेड़छाड़ कर टूल कॉल्स को चुपचाप बदलना.
  • Bedrock Flows में नए नोड जोड़कर संवेदनशील इनपुट बाहर भेजना.
  • गार्डरेल्स को कमजोर या हटाकर prompt injection और PII leakage फिर से संभव बनाना.
  • मैनेज्ड प्रॉम्प्ट टेम्पलेट्स को रनटाइम पर ज़हरीला बनाना, बिना स्पष्ट redeploy के.

मुख्य निष्कर्ष

यहाँ मॉडल मुख्य लक्ष्य नहीं है. हमला IAM permissions, configurations, data paths और integrations पर है जो AI एप्लिकेशन के आसपास बने हैं. अगर आपकी सुरक्षा सोच सिर्फ prompt injection तक सीमित है, तो आप असली cloud attack surface मिस कर रहे हैं.

गंभीर निष्कर्ष

एक ही ओवर-प्रिविलेज्ड IAM identity logging, agents, flows, prompts और knowledge access सबको एक साथ compromise कर सकती है. बहुत सी टीमों को इन पाथ्स की visibility ही नहीं है.

तुरंत क्या करें

  1. Bedrock, Lambda और S3 permissions पर least privilege लागू करें.
  2. Logging configuration और guardrail changes पर alert लगाएँ.
  3. डेटा सोर्स क्रेडेंशियल्स को Secrets Manager में rotation के साथ रखें.
  4. UpdateAgent और CreateAgentActionGroup को केवल नियंत्रित CI/CD तक सीमित करें.
  5. Prompts को code की तरह review और audit trail के साथ मैनेज करें.
  6. AI workloads से critical assets तक के सभी paths map करें.
  7. Guardrails की resilience को नियमित रूप से test करें.

NIS2 और DORA पर असर

यूरोपीय संगठनों के लिए यह सीधा नियामकीय मामला है. NIS2 supply-chain risk management और significant incident reporting मांगता है. DORA वित्तीय संस्थाओं से कहता है कि वे डिजिटल dependencies, जिनमें AI automation भी शामिल है, को map और test करें.