Amazon Bedrock hat eine riesige Tür für Unternehmen geöffnet, um erweiterte Sprachmodelle in ihre Prozesse zu integrieren: es ermöglicht Modellen nicht nur Fragen zu beantworten, sondern auch CRMs zu konsultieren, serverlose Funktionen zu aktivieren und Unternehmens-Repository-Informationen wiederherzustellen. Die gleiche Brücke zwischen IA und Geschäftssystemen ist, was das Risiko multipliziert, weil es den IA-Agent in ein anderes Element der Infrastruktur mit eigenen Berechtigungen verwandelt, Netzwerk Reichweite und Angriff Vektoren.
Ein Sicherheitsforschungsteam von XM Cyber hat dieses Problem entkoppelt und mehrere Angriffsrouten validiert, die diese Konnektivität nutzen. Es geht nicht darum, die Box eines Modells durch grobe Kraft zu brechen, sondern die Anmeldeinformationen, Konfigurationen und Berechtigungen, die um Bedrock herum, um wertvolle Ressourcen außerhalb des Inferenzmotors selbst zu erreichen. Für diejenigen, die eine Umgebung in AWS verwalten oder sichern, ist es eine klare Lektion: Der Schutz von Modellen reicht nicht aus, wenn der Kontext um sie nicht gewährleistet ist. Sie können die Bedrock Seite auf AWS überprüfen, um ihre Fähigkeiten besser zu verstehen: https: / / aws.amazon.com / bedrock /, und die komplette Studie von XM Cyber mit Diagrammen und technischen Empfehlungen ist verfügbar unter: Bauen und Skalieren Sichere alternische KI Anwendungen in AWS Bedrock.
Ein Angriffspfad, der die Aufmerksamkeit auf sich zieht, ist derjenige, der die Invocation Records des Modells verwendet. Bedrock hält Spuren jeder Interaktion aus Prüfungsgründen; diese Dateien können empfindliche Eingabeaufforderungen oder PII-Ergebnisse enthalten. Wenn ein schädlicher Schauspieler den Eimer lesen kann, wo diese Protokolle gespeichert werden oder umleiten sie zu einem Ziel unter ihrer Kontrolle, erhält einen kontinuierlichen Informationsfluss. In einem anderen verwandten Szenario kann jeder, der Berechtigungen hat, Objekte in S3 zu entfernen oder Streams aus Protokollen zu löschen, Manipulationsdrucke oder Jailbreak zu löschen, forensische Ermittlungen zu komplizieren und den Zugriff auf Undercover zu erhalten.
Die Knowledge Bases-Architektur in Bedrock - das Muster bekannt als Retrieval Augmented Generation (RAG) - ist eine weitere kritische Oberfläche. Hier existieren die ursprünglichen Datenquellen (S3, SharePoint, Salesforce, Confluence) mit den Indexen und Speichern, die diesen Inhalt konsultierbar machen. Wenn ein Angreifer die Anmeldeinformationen erhält, um die Quelle direkt zu lesen, kann er Daten ohne das Modell ausfiltern; wenn er Geheimnisse stiehlt, die Bedrock verwendet, um mit SaaS-Diensten zu verbinden, kann er sich seitlich zu Identitätssystemen wie Active Directory bewegen. Der Unterschied zwischen dem Lesen von Rohdaten und der Manipulation der Verbindung ist der Unterschied zwischen Spionage und einer Tür zum Klettern von Privilegien.
Durch diese Ergänzung hat der Ort, an dem bereits verarbeitete Informationen gespeichert werden - Vektorbasen oder strukturierte Lager - ein eigenes Risiko. Kommerzielle Vektorplattformen oder verwaltete Dienste können Schlüssel und Endpunkte in Konfigurationen enthalten, die, wenn Sie über Bedrock APIs lesen (z.B. durch Anfragen, die Konfigurationsobjekte wiederherstellen), dem Angreifer erlauben, ganze Zahlen oder Klondaten zu steuern. Mit AWS native Basen wie Aurora oder Redshift kann der Diebstahl der Anmeldeinformationen direkten Zugriff auf Tabellen und komplette relationale Informationen geben.
Gesteinsmittel sind in sich geschlossene Elemente, die für die Orchestrierung von Aufgaben konzipiert sind. Der Zugang zu erstellen oder zu aktualisieren Agenten können Ihre Grundanweisung und die Tools, die Sie verwenden, ändern und unerwünschte Verwendungen verursachen: von der Offenlegung von internen Anweisungen bis zur Annexion von schädlichen Executors, die als "Hintertüren" fungieren und Änderungen an Datenbanken oder Benutzerkonten im Namen des legitimen Flusses vorzunehmen. In dieser Art von Szenario wird böswillige Aktion innerhalb des erwarteten Verhaltens des Agenten getarnt, was die Erkennung erschwert.
Es gibt auch einen subtileren Vektor: Statt den Agenten zu berühren, kompromittiert der Angreifer die Infrastruktur, die der Agent anruft. Wenn ein Schauspieler den Code einer Lambda-Funktion aktualisieren oder Schichten mit schädlichen Abhängigkeiten veröffentlichen kann, injizieren schädliches Verhalten in die Anrufe, die der Agent zu externen Werkzeugen macht. Es ist eine effiziente Möglichkeit, eine Ausführungskette abzufragen, ohne den Agenten direkt zu verändern.
Ströme, die Schritte und Bedingungen definieren, um Aufgaben zu erledigen, können auch manipuliert werden. Durch Änderung eines Flusses können Sie einen Knoten einfügen, der sensible Daten an einen externen Speicher sendet, Bedingungen ändern, die als Geschäftskontrollen fungieren, um unberechtigte Anfragen zuzulassen oder sogar den für Zustände und Snapshots verwendeten Verschlüsselungsschlüssel durch eine vom Angreifer gesteuerte zu ersetzen. So funktioniert die Geschäftslogik weiterhin offensichtlich gut, während die Vertraulichkeit oder Integrität von Informationen beeinträchtigt wird.
Bedrocks "Wächter" sind die erste Verteidigungslinie, um zu verhindern, dass das Modell gefährliche Inhalte generiert, schnelle Injektionen akzeptiert oder persönliche Daten aussetzt. Wenn jemand Schwellen senken kann, Regeln entfernen oder diese Filter entfernen, viel der Kontrolle, die Organisationen denken, dass sie verschwunden sind. Die Handhabung von Wachen verwandelt logische Schwachstellen in operative Lücken weil es die Widerstandsfähigkeit gegenüber schädlichen Eingaben reduziert, die zuvor blockiert wurden.
Schließlich bietet die zentralisierte Verwaltung von Schnellvorlagen einen groß angelegten Aufprallvektor. Eine Änderung eines gemeinsamen Temperaments (oder seiner aktiven Version) kann Anweisungen eingefügt werden, die das Verhalten des Modells in allen Anwendungen ändern, die es verbrauchen, ohne dass ein Widerruf erforderlich ist. Diese Art der "heißen" Änderung ermöglicht eine Massenexfiltration oder koordinierte Erzeugung von schädlichen Inhalten und ist mit der herkömmlichen Applikationsüberwachung schwer zu erkennen.
Was sollen Sicherheitsteams tun? Die gute Nachricht ist, dass die Verteidigung immer noch mit Disziplin angewendet wird: Governance von Identitäten und Zugriff so streng wie möglich (Vorbehalt von weniger Privilegien), Kontrolle und Überwachung von Login mit garantierter Integrität, sichere Verwaltung von Geheimnissen und Schlüsseln, Netzwerksegmentierung und Einschränkung des Umfangs von Agenten und Funktionen. Es ist wichtig, eine Bestandsaufnahme der IA-Lastungen aufrechtzuerhalten und abzubilden, welche Ressourcen sie haben, denn wie die Analyse zeigt, kann eine einzige übermäßige Genehmigung ausreichen, um einen Kettenangriff auszulösen. AWS bietet gute Praxisführer für IAM, die ein guter Ausgangspunkt sind: https: / / docs.aws.amazon.com / IAM / aktuell / UserGuide / best-practices.html.
Die Beobachtungsfähigkeit ist ebenso kritisch: um sicherzustellen, dass CloudTrail- und Registrierungssysteme nicht einfach umgeleitet oder gelöscht werden können und sensible Protokolle mit Schlüsseln codieren, deren Zugriff eingeschränkt und geprüft wird. Die CloudTrail- und AWS-Schlüsselmanagement-Führer helfen, diese Schutzmaßnahmen zu entwerfen: Auf der Karte anzeigen und AWS KMS. Für das spezifische Risiko von RAG- und Vektorbasen ist es angezeigt, Kontrollen um Einnahmepipelines, Rotation von Anmeldeinformationen und Netzbeschränkungen zu überprüfen, die die Möglichkeit begrenzen, vollständige Indizes von außerhalb des VPCs oder der Umwelt zu extrahieren.
Auf der Ebene der IA-Governance ist es nützlich, die Rahmenbedingungen und Rahmen für das Risikomanagement zu prüfen, die dazu beitragen, die technischen und organisatorischen Kontrollen zu priorisieren. Der NIST hat Leitlinien für das Risikomanagement für IA veröffentlicht, die als Referenz für Politiken und Prozesse dienen können: NIST zu RMF. Implementieren von Änderungsrezensionen für Wächter, schnelle Vorlagen und Ströme und Betreffänderungen an Genehmigungsprozessen mit Rückverfolgbarkeit reduziert die Möglichkeit einer unentdeckten Handhabung.
Kurz gesagt, Bedrock und ähnliche Plattformen zwingen uns, über die Sicherheit der IA in weiten Worten nachzudenken: Modelle zu schützen, ja, vor allem aber, um die Konten, Integrationsrouten und Infrastrukturteile zu schützen, die es einem Agent ermöglichen, den Rest der Organisation zu berühren. Wenn Sie in Konzepttests, Diagramme und operationelle Empfehlungen gehen möchten, enthält XM Cyber den vollständigen Bericht dieses technischen Materials und wurde von Team-Forschern, einschließlich Eli Shparaga: Bauen und Skalieren Sichere alternische KI Anwendungen in AWS Bedrock.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...