Oito vetores de ataque encontrados no AWS Bedrock, a infraestrutura de IA virou a nova linha de frente
A XM Cyber mapeou oito caminhos de ataque validados no AWS Bedrock, de sequestro de agentes a roubo de bases de conhecimento e degradação de guardrails. O risco real está na infraestrutura ao redor do modelo.
Por que isso importa
O AWS Bedrock conecta modelos fundacionais diretamente a dados corporativos, bases de conhecimento, funções Lambda e fluxos de trabalho. Essa conectividade acelera aplicações de IA, mas também amplia o alcance do atacante quando uma identidade privilegiada cai nas mãos erradas.
Os oito vetores de ataque
- Redirecionar logs de invocação de modelo para buckets S3 controlados pelo atacante ou apagar evidências.
- Ler fontes RAG diretamente e extrair dados corporativos sem usar o modelo.
- Explorar credenciais expostas em Pinecone, Redis ou Aurora para assumir o armazenamento vetorial.
- Alterar prompts-base e action groups de agentes para executar ações maliciosas sob aparência legítima.
- Comprometer funções Lambda de apoio e manipular chamadas de ferramentas de forma invisível.
- Inserir nós em Bedrock Flows e encaminhar entradas sensíveis para endpoints externos.
- Enfraquecer ou remover guardrails até reabrir espaço para prompt injection e vazamento de PII.
- Envenenar templates de prompt gerenciados em produção sem acionar redeploy visível.
Insight principal
O modelo não é o alvo central. Os atacantes miram permissões IAM, configurações, fluxos de dados e integrações ao redor da aplicação de IA. Focar só em prompt injection ignora a verdadeira superfície de ataque em nuvem.
Achado crítico
Uma única identidade IAM com privilégio excessivo pode comprometer logs, agentes, flows, prompts e acessos à base de conhecimento ao mesmo tempo. Muitas equipes ainda não enxergam esses caminhos.
Ações imediatas
- Aplicar least privilege em Bedrock, Lambda e S3.
- Alertar mudanças em logging e guardrails.
- Manter credenciais em Secrets Manager com rotação automática.
- Restringir UpdateAgent e CreateAgentActionGroup a pipelines CI/CD controlados.
- Tratar prompts como código, com revisão e trilha de auditoria.
- Mapear todos os caminhos entre workloads de IA e ativos críticos.
- Testar guardrails regularmente contra enfraquecimento por configuração.
Impacto em NIS2 e DORA
Para organizações europeias, isso tem impacto regulatório direto. A NIS2 exige gestão de risco de cadeia de suprimentos e reporte de incidentes significativos. O DORA exige que entidades financeiras mapeiem e testem dependências digitais, incluindo automações baseadas em IA.