Otto vettori di attacco scoperti in AWS Bedrock, l’infrastruttura AI è la nuova prima linea
XM Cyber ha mappato otto percorsi di attacco validati in AWS Bedrock, dal dirottamento degli agenti al furto delle knowledge base e all’indebolimento dei guardrail. Il vero rischio è nell’infrastruttura attorno al modello.
Perché conta
AWS Bedrock collega i foundation model direttamente a dati aziendali, knowledge base, funzioni Lambda e workflow. Questa integrazione rende le app AI potenti, ma trasforma anche l’ambiente Bedrock in una parte della tua infrastruttura critica.
Gli otto vettori di attacco
- Deviare i log delle invocazioni verso bucket S3 controllati dall’attaccante o cancellare le tracce.
- Leggere direttamente le fonti RAG ed estrarre dati aziendali senza passare dal modello.
- Sfruttare credenziali esposte in Pinecone, Redis o Aurora per prendere il controllo dello storage vettoriale.
- Modificare prompt base e action group degli agenti per eseguire azioni malevole sotto copertura legittima.
- Compromettere le funzioni Lambda di supporto e manipolare in modo invisibile le tool call.
- Iniettare nodi nei Bedrock Flows e instradare input sensibili verso endpoint esterni.
- Indebolire o cancellare i guardrail fino a riaprire prompt injection, contenuti tossici e fughe di PII.
- Avvelenare i template di prompt gestiti in produzione senza un redeploy evidente.
Insight chiave
Il modello non è il bersaglio principale. Gli attaccanti colpiscono permessi IAM, configurazioni, percorsi dati e integrazioni attorno all’applicazione AI. Limitarsi al tema prompt injection significa perdere la vera superficie di attacco cloud.
Scoperta critica
Una sola identità IAM con privilegi eccessivi può compromettere allo stesso tempo logging, agenti, flow, prompt e accessi alla knowledge base. Molti team non vedono ancora questi percorsi.
Azioni immediate
- Applicare least privilege su Bedrock, Lambda e S3.
- Allertare ogni modifica a logging e guardrail.
- Conservare le credenziali in Secrets Manager con rotazione.
- Consentire UpdateAgent e CreateAgentActionGroup solo tramite CI/CD controllato.
- Gestire i prompt come codice con review e audit trail.
- Mappare tutti i percorsi tra workload AI e asset critici.
- Testare regolarmente la resilienza dei guardrail.
Implicazioni NIS2 e DORA
Per le organizzazioni UE l’impatto normativo è diretto. NIS2 richiede gestione del rischio di supply chain e notifica degli incidenti significativi. DORA impone alle entità finanziarie di mappare e testare le dipendenze digitali, inclusa l’automazione basata su AI.