剣 KENSAI
← All posts · security · 2026-01-01 · 3 min

Otto vettori di attacco scoperti in AWS Bedrock — L'infrastruttura IA è il nuovo fronte

I ricercatori di XM Cyber hanno mappato otto percorsi di attacco validati in AWS Bedrock: hijacking degli agenti, furto di knowledge base, degradazione dei guardrail e avvelenamento dei prompt — il tutto senza toccare il modello.


🔍 Perché è importante

AWS Bedrock è la piattaforma di punta di Amazon per le applicazioni basate sull'IA. Collega i modelli fondazionali direttamente ai dati aziendali. Quando un agente IA può interrogare il tuo CRM o attivare funzioni Lambda, diventa un nodo della tua infrastruttura con permessi e percorsi verso asset critici.

⚡ Gli otto vettori di attacco

1. Attacchi ai log di invocazione

Gli attaccanti possono reindirizzare i log verso bucket S3 sotto il loro controllo.

2. Attacchi alle fonti dati Knowledge Base

Un attaccante può bypassare il modello ed estrarre dati aziendali grezzi.

3. Attacchi ai data store

Le credenziali esposte danno accesso amministrativo completo agli indici vettoriali.

4. Attacchi diretti agli agenti

Gli attaccanti possono riscrivere il prompt base di un agente.

5. Attacchi indiretti agli agenti

Prendendo di mira le funzioni Lambda, iniettano codice malevolo nelle chiamate degli strumenti.

6. Attacchi per iniezione di flusso

Gli attaccanti iniettano nodi sidecar per instradare input sensibili verso endpoint dell'attaccante.

7. Degradazione dei guardrail

I guardrail possono essere sistematicamente indeboliti o eliminati.

8. Avvelenamento dei prompt gestiti

I template dei prompt possono essere modificati in volo senza ridistribuzione.

🎯 Insight chiave: il modello non è il bersaglio

Tutti otto i vettori condividono uno schema: gli attaccanti prendono di mira permessi, configurazioni e integrazioni attorno al modello.

⚠️ Scoperta critica

Una singola identità IAM sovra-privilegiata è sufficiente per compromettere l'intero stack IA.

🛡️ Azioni immediate

  1. Verificare le policy IAM di Bedrock
  2. Monitorare le modifiche alla configurazione dei log
  3. Crittografare e ruotare le credenziali
  4. Bloccare le configurazioni degli agenti
  5. Versionare i prompt come codice
  6. Mappare la superficie di attacco IA
  7. Testare la resilienza dei guardrail

📊 Implicazioni NIS2 e DORA

Per le organizzazioni UE, queste scoperte hanno un impatto normativo diretto. NIS2 richiede la gestione del rischio della catena di fornitura e la segnalazione degli incidenti significativi.