AWS Bedrockの内部で8つの攻撃ベクターを発見。攻撃者がそれらを使って何ができるか

概要

AWS Bedrockは、Amazonが提供するAIアプリケーション構築プラットフォームです。開発者は、このプラットフォームを通じて基礎モデルにアクセスし、それらを企業データやシステムと直接接続することができます。

XM Cyberの脅威研究チームは、Bedrock環境内で攻撃者がどのようにこれらの接続性を利用して悪用できるかを調査しました。その結果、8つの検証済み攻撃ベクターが見つかりました。

AWS Bedrockはモデルとのすべての相互作用を記録します。しかし、この機能自体が潜在的な影の攻撃面となり得ます。攻撃者はS3バケットから機密データを収集したり、ログの書き込み先を攻撃者が制御するバケットに変更することができます。

AWS Bedrock Knowledge Basesは、基礎モデルと企業データを接続します。これらのデータソースが直接Bedrockからアクセス可能であるため、攻撃者は機密データに直接アクセスしたり、ベッドロックが使用する資格情報を盗むことができます。

知識ベースの情報はインデックス化され、リアルタイムでクエリ可能になります。ベクトルデータベースに統合されている場合、保存された資格情報が最も脆弱な部分となります。

AWS Bedrockのエージェントは自律的なオーケストレーターです。攻撃者はこれらのエージェントを操作し、不正なアクションを実行することができます。

間接エージェント攻撃は、エージェントが依存するインフラストラクチャを標的とします。Lambda関数に悪意のあるコードをデプロイすることで、機密データの漏洩やモデル応答の操作を行うことができます。

AWS Bedrock Flowsはタスクを完了するためのステップの順序を定義します。攻撃者はこれらのフローを通じて、機密データを攻撃者が制御するエンドポイントにルーティングすることができます。

AWS Bedrockのガードレールは、有害なコンテンツやプロンプトインジェクションをブロックします。しかし、これらのガードレールが更新または削除されると、モデルはより簡単に操作される可能性があります。

AWS Bedrock Prompt Managementは、アプリケーションとモデル全体にわたるプロンプトテンプレートを中央で管理します。これらのプロンプトが変更されると、AIの動作が即座に変化し、検出が困難になります。

AWS Bedrockの8つの攻撃ベクターは、モデル自体ではなく、その周囲の権限や統合を標的とします。単一の過剰な権限を持つアイデンティティが存在すれば、ログをリダイレクトしたり、エージェントをハイジャックしたりすることができます。

AWS Bedrockを使用する際には、AIワークロードとそれらに付随する権限を把握することが重要です。また、クラウドとオンプレミス環境を横断する攻撃パスをマッピングし、すべてのコンポーネントに対して厳格なポストルールを維持することが求められます。

元記事: https://thehackernews.com/2026/03/we-found-eight-attack-vectors-inside.html