剣 KENSAI
← All posts · security · 2026-01-01 · 3 min

AWS Bedrock 发现八大攻击向量 — AI基础设施成为新战线

XM Cyber研究人员在AWS Bedrock中发现八条经过验证的攻击路径:代理劫持、知识库窃取、防护栏降级和提示词投毒——所有这些都无需触及模型本身。


🔍 为什么这很重要

AWS Bedrock是亚马逊构建AI驱动应用的旗舰平台。它将基础模型直接连接到企业数据。当AI代理可以查询您的CRM或触发Lambda函数时,它就成为您基础设施中的一个节点——拥有权限和通往关键资产的路径

⚡ 八大攻击向量

1. 模型调用日志攻击

攻击者可以将日志重定向到他们控制的S3存储桶

2. 知识库数据源攻击

攻击者可以绕过模型直接提取原始企业数据

3. 知识库数据存储攻击

暴露的凭证给予攻击者对向量索引的完全管理访问权

4. 直接代理攻击

攻击者可以重写代理的基本提示词

5. 间接代理攻击

通过瞄准Lambda函数,在工具调用中注入恶意代码

6. 流程注入攻击

攻击者注入侧车节点以将敏感输入路由到攻击者端点

7. 防护栏降级

防护栏可以被系统性地削弱或完全删除。

8. 托管提示词投毒

提示词模板可以在运行中被修改而不触发重新部署。

🎯 关键洞察:模型不是目标

所有八个向量共享一个模式:攻击者瞄准模型周围的权限、配置和集成

⚠️ 关键发现

单个过度特权的IAM身份就足以危及整个AI堆栈。

🛡️ 立即行动

  1. 审计Bedrock IAM策略
  2. 监控日志配置更改
  3. 加密并轮换凭证
  4. 锁定代理配置
  5. 像代码一样版本管理提示词
  6. 映射AI攻击面
  7. 测试防护栏弹性

📊 NIS2和DORA影响

对于欧盟组织,这些发现具有直接的监管影响。NIS2要求供应链风险管理重大事件报告