AWS Bedrock 发现 8 条攻击路径,AI 基础设施已成新的前线
XM Cyber 在 AWS Bedrock 中验证了 8 条攻击路径,从代理劫持、知识库窃取到护栏降级与提示污染。真正的风险不在模型本身,而在模型外围的基础设施。
为什么这很重要
AWS Bedrock 将基础模型直接连接到企业数据、知识库、Lambda 函数和工作流。这让 AI 应用更强大,也让攻击面更靠近核心资产。一旦攻击者拿到权限过大的身份,风险就会从模型迅速扩展到整套云侧 AI 运行环境。
八条攻击路径
- 将模型调用日志重定向到攻击者控制的 S3 存储桶,或删除越狱痕迹。
- 直接读取 RAG 数据源,在不经过模型的情况下提取企业敏感数据。
- 利用 Pinecone、Redis、Aurora 等向量存储中的暴露凭证,接管索引和数据。
- 修改代理基础提示词和 action group,让合法代理执行恶意操作。
- 篡改支持性的 Lambda 函数,悄悄操纵工具调用或外传数据。
- 向 Bedrock Flows 注入额外节点,把敏感输入转发到外部端点。
- 削弱或删除 guardrails,使提示注入、PII 泄漏和有害内容重新变得可行。
- 在运行时污染托管提示模板,而且不需要显式重新部署。
关键结论
模型并不是主要目标。攻击者真正瞄准的是 IAM 权限、配置、数据路径以及围绕 AI 应用的集成层。如果你的防护只停留在 prompt injection,你就错过了真正的云侧 AI 攻击面。
严重发现
一个权限过大的 IAM 身份就可能同时破坏日志、代理、流程、提示模板和知识访问。很多团队今天甚至还看不到这些路径。
安全团队应立即执行
- 对 Bedrock、Lambda、S3 权限全面落实最小权限。
- 对日志配置和 guardrail 变更建立告警。
- 将数据源和数据存储凭证放入 Secrets Manager 并定期轮换。
- 把 UpdateAgent 和 CreateAgentActionGroup 限制在受控 CI/CD 流程内。
- 像管理代码一样管理 prompts,要求评审、批准和审计轨迹。
- 完整绘制 AI 工作负载到关键资产的所有路径。
- 定期测试 guardrails 是否会被配置变更悄悄削弱。
对 NIS2 与 DORA 的影响
对欧盟组织来说,这具有直接的监管影响。NIS2 要求供应链风险管理与重大事件报告,DORA 要求金融机构梳理并测试所有数字依赖,包括 AI 自动化。任何生产中的 Bedrock 部署都应该进入正式风险评估。