Acht aanvalsvectoren ontdekt in AWS Bedrock, AI-infrastructuur is het nieuwe front
XM Cyber bracht acht gevalideerde aanvalspaden in AWS Bedrock in kaart, van agentkaping tot kennisdiefstal en verzwakte guardrails. Het echte risico zit in de infrastructuur rond het model.
Waarom dit telt
AWS Bedrock verbindt foundation models direct met bedrijfsdata, knowledge bases, Lambda-functies en workflows. Dat maakt AI-productie krachtig, maar ook gevaarlijk. Wie een overbevoorrechte identiteit overneemt, krijgt vaak bereik tot veel meer dan alleen een modelprompt.
De acht aanvalsvectoren
- Model-logging omleiden naar een S3-bucket van de aanvaller of sporen wissen.
- RAG-databronnen rechtstreeks lezen en gevoelige data buitmaken zonder het model te gebruiken.
- Gelekte credentials in Pinecone, Redis of Aurora misbruiken om vectorstores over te nemen.
- Agentprompts en action groups aanpassen zodat legitieme agents kwaadaardige taken uitvoeren.
- Ondersteunende Lambda-functies compromitteren en tool-calls onzichtbaar manipuleren.
- Bedrock Flows uitbreiden met extra nodes die gevoelige input doorsturen naar buiten.
- Guardrails verzwakken of verwijderen totdat prompt injection en PII-lekken weer mogelijk zijn.
- Beheerde prompttemplates live vergiftigen zonder zichtbare redeploy.
Belangrijk inzicht
Het model is niet het hoofddoelwit. Aanvallers richten zich op IAM-rechten, configuraties, datapaden en integraties rond de AI-applicatie. Alleen over prompt injection praten mist het echte cloud-aanvalsoppervlak.
Kritische bevinding
Eén overbevoorrechte IAM-identiteit kan tegelijk logging, agents, flows, prompts en kennisbronnen compromitteren. Veel teams hebben daar vandaag nauwelijks zicht op.
Directe acties
- Pas least privilege toe op Bedrock, Lambda en S3.
- Waarschuw actief op wijzigingen aan logging en guardrails.
- Bewaar credentials in Secrets Manager met rotatie.
- Sta UpdateAgent en CreateAgentActionGroup alleen via gecontroleerde CI/CD toe.
- Behandel prompts als code met review en audit trail.
- Breng alle paden van AI-workloads naar kritieke assets in kaart.
- Test guardrails regelmatig op verzwakking via configuratie.
NIS2- en DORA-impact
Voor EU-organisaties is dit direct relevant voor compliance. NIS2 vraagt om supply-chain-risicobeheer en melding van significante incidenten. DORA verplicht financiële instellingen hun digitale afhankelijkheden, inclusief AI-automatisering, in kaart te brengen en te testen.