AWS Bedrock 发现八大攻击向量 — AI基础设施成为新战线
XM Cyber研究人员在AWS Bedrock中发现八条经过验证的攻击路径:代理劫持、知识库窃取、防护栏降级和提示词投毒——所有这些都无需触及模型本身。
🔍 为什么这很重要
AWS Bedrock是亚马逊构建AI驱动应用的旗舰平台。它将基础模型直接连接到企业数据。当AI代理可以查询您的CRM或触发Lambda函数时,它就成为您基础设施中的一个节点——拥有权限和通往关键资产的路径。
⚡ 八大攻击向量
1. 模型调用日志攻击
攻击者可以将日志重定向到他们控制的S3存储桶。
2. 知识库数据源攻击
攻击者可以绕过模型直接提取原始企业数据。
3. 知识库数据存储攻击
暴露的凭证给予攻击者对向量索引的完全管理访问权。
4. 直接代理攻击
攻击者可以重写代理的基本提示词。
5. 间接代理攻击
通过瞄准Lambda函数,在工具调用中注入恶意代码。
6. 流程注入攻击
攻击者注入侧车节点以将敏感输入路由到攻击者端点。
7. 防护栏降级
防护栏可以被系统性地削弱或完全删除。
8. 托管提示词投毒
提示词模板可以在运行中被修改而不触发重新部署。
🎯 关键洞察:模型不是目标
所有八个向量共享一个模式:攻击者瞄准模型周围的权限、配置和集成。
⚠️ 关键发现
单个过度特权的IAM身份就足以危及整个AI堆栈。
🛡️ 立即行动
- 审计Bedrock IAM策略
- 监控日志配置更改
- 加密并轮换凭证
- 锁定代理配置
- 像代码一样版本管理提示词
- 映射AI攻击面
- 测试防护栏弹性
📊 NIS2和DORA影响
对于欧盟组织,这些发现具有直接的监管影响。NIS2要求供应链风险管理和重大事件报告。