XM Cyber威胁研究团队最近把AWS Bedrock整个栈扒了个底朝天,结果挖出整整八条实打实的攻击路径。从日志偷窥到知识库直取,再到Agent劫持、Flow注入、Guardrail拆除、Prompt下毒,每一条都从最低权限起步,却能一路杀到企业最要命的地方。
先说日志。Bedrock把每一次模型调用都记下来,扔进S3桶里做审计。攻击者只要拿到s3:GetObject权限,就能直接读走所有prompt和输出,敏感数据全在里面。如果读不到,他们还能用bedrock:PutModelInvocationLoggingConfiguration把日志重定向到自己控制的桶,从此每条对话都悄无声息地流过去。更狠的是,拿s3:DeleteObject或者logs:DeleteLogStream权限,直接把越狱痕迹全删干净,事后审计直接断链。
知识库这边分成两块。数据源攻击最直接。Bedrock知识库靠RAG连着S3、Salesforce、SharePoint这些地方。攻击者只要有s3:GetObject,就能绕过模型直接拉原始文件。更要命的是,偷到Bedrock连接SaaS服务的凭证后,就能用SharePoint凭证横向跳进Active Directory,整个域都可能沦陷。
数据存储攻击则盯上向量数据库。Pinecone、Redis Enterprise Cloud这些常见后端,凭证往往藏在StorageConfiguration里。攻击者通过bedrock:GetKnowledgeBase接口拿到端点和API key,就能直接管理员权限接管向量索引。AWS自家的Aurora、Redshift也一样,凭证一到手,整个结构化知识库敞开大门。
Agent攻击分直接和间接两种。直接攻击用bedrock:UpdateAgent改基础prompt,让Agent把自己的指令和工具 schema全吐出来。配合bedrock:CreateAgentActionGroup,还能挂上恶意执行器,表面执行正常任务,暗地里改数据库、建新用户。间接攻击更阴,攻击者用lambda:UpdateFunctionCode直接改Agent调用的Lambda函数代码,或者用lambda:PublishLayer塞恶意依赖。每次工具调用都可能把数据偷偷外发,或者让模型吐出有害内容。
Flow攻击针对工作流。拿bedrock:UpdateFlow权限,攻击者能在关键路径里塞一个S3存储节点或者Lambda节点,把输入输出全路由到自己手里,却不影响原有逻辑。还能改Condition节点,绕过业务规则,让未授权请求直达下游系统。甚至换掉客户管理密钥,以后所有Flow状态都用攻击者的密钥加密。
Guardrail是Bedrock最主要的防护层,负责挡毒内容、拦prompt注入、脱敏PII。攻击者用bedrock:UpdateGuardrail就能把过滤阈值调低、把主题限制全删,让模型变得极易被操纵。bedrock:DeleteGuardrail更简单,直接把防护整个干掉。
Prompt管理攻击最隐蔽。Bedrock把prompt模板集中管理,攻击者拿bedrock:UpdatePrompt就能直接改模板,塞进“每次回答都带上我这个链接”或者“忽略之前所有PII安全指令”这类毒指令。因为改prompt不用重部署,传统监控工具基本看不见。改完版本号后,所有调用这个prompt的Agent和Flow瞬间被集体控制,大规模数据外泄或者有害内容生成直接起飞。
这些攻击的核心逻辑都一样:攻击者根本不碰模型本身,专盯模型周围的权限、配置和集成。一个权限过大的IAM身份,就够把日志重定向、Agent劫持、Prompt下毒,或者从Bedrock跳到本地关键系统。
眼下加密市场还在震荡,BTC现报$70,368(涨2.42%),ETH现报$2,136(涨3.31%),企业上云用AI的节奏却没停。Bedrock这种把模型直接连企业数据的平台,用得越多,攻击面就铺得越大。安全团队现在必须把AI工作负载的权限清单拉出来,一条条画清楚从云到本地可能的攻击路径,把每个组件的姿态控制死死卡住。
不然,一个小小的配置疏忽,就可能让攻击者从一个AI调用节点,一路摸到整个企业的命根子数据。