剣 KENSAI
← All posts · security · 2026-04-09 · 3 min

Oito vetores de ataque encontrados no AWS Bedrock, a infraestrutura de IA virou a nova linha de frente

A XM Cyber mapeou oito caminhos de ataque validados no AWS Bedrock, de sequestro de agentes a roubo de bases de conhecimento e degradação de guardrails. O risco real está na infraestrutura ao redor do modelo.


Por que isso importa

O AWS Bedrock conecta modelos fundacionais diretamente a dados corporativos, bases de conhecimento, funções Lambda e fluxos de trabalho. Essa conectividade acelera aplicações de IA, mas também amplia o alcance do atacante quando uma identidade privilegiada cai nas mãos erradas.

Os oito vetores de ataque

  • Redirecionar logs de invocação de modelo para buckets S3 controlados pelo atacante ou apagar evidências.
  • Ler fontes RAG diretamente e extrair dados corporativos sem usar o modelo.
  • Explorar credenciais expostas em Pinecone, Redis ou Aurora para assumir o armazenamento vetorial.
  • Alterar prompts-base e action groups de agentes para executar ações maliciosas sob aparência legítima.
  • Comprometer funções Lambda de apoio e manipular chamadas de ferramentas de forma invisível.
  • Inserir nós em Bedrock Flows e encaminhar entradas sensíveis para endpoints externos.
  • Enfraquecer ou remover guardrails até reabrir espaço para prompt injection e vazamento de PII.
  • Envenenar templates de prompt gerenciados em produção sem acionar redeploy visível.

Insight principal

O modelo não é o alvo central. Os atacantes miram permissões IAM, configurações, fluxos de dados e integrações ao redor da aplicação de IA. Focar só em prompt injection ignora a verdadeira superfície de ataque em nuvem.

Achado crítico

Uma única identidade IAM com privilégio excessivo pode comprometer logs, agentes, flows, prompts e acessos à base de conhecimento ao mesmo tempo. Muitas equipes ainda não enxergam esses caminhos.

Ações imediatas

  1. Aplicar least privilege em Bedrock, Lambda e S3.
  2. Alertar mudanças em logging e guardrails.
  3. Manter credenciais em Secrets Manager com rotação automática.
  4. Restringir UpdateAgent e CreateAgentActionGroup a pipelines CI/CD controlados.
  5. Tratar prompts como código, com revisão e trilha de auditoria.
  6. Mapear todos os caminhos entre workloads de IA e ativos críticos.
  7. Testar guardrails regularmente contra enfraquecimento por configuração.

Impacto em NIS2 e DORA

Para organizações europeias, isso tem impacto regulatório direto. A NIS2 exige gestão de risco de cadeia de suprimentos e reporte de incidentes significativos. O DORA exige que entidades financeiras mapeiem e testem dependências digitais, incluindo automações baseadas em IA.