Ocho vectores de ataque en AWS Bedrock: un riesgo inminente
Publicado el
Introducción
AWS Bedrock, la plataforma de Amazon para desarrollar aplicaciones impulsadas por inteligencia artificial, ha sido objeto de un análisis exhaustivo que ha revelado ocho vectores de ataque. Estos vectores explotan la conectividad de Bedrock, que permite a los modelos de IA interactuar con datos empresariales y sistemas críticos, convirtiéndola en un blanco atractivo para los ciberdelincuentes.
Vectores de Ataque
Los investigadores de XM Cyber han mapeado cómo los atacantes pueden aprovechar esta conectividad. A continuación, se describen los principales vectores identificados:
1. Ataques a los Registros de Invocación de Modelos
Los registros de interacción de modelos en Bedrock son esenciales para la auditoría. Sin embargo, un atacante puede leer estos registros desde un bucket de S3 o redirigirlos a un bucket controlado por él, obteniendo así acceso a datos sensibles. Además, puede eliminar evidencias de actividad maliciosa si tiene permisos adecuados.2. Ataques a la Base de Conocimientos - Fuente de Datos
Las Bases de Conocimientos en Bedrock conectan modelos de IA a datos empresariales mediante Retrieval Augmented Generation (RAG). Un atacante con acceso a estos datos puede omitir el modelo y extraer información directamente. También puede robar credenciales que permiten el acceso a servicios SaaS integrados, facilitando ataques posteriores.3. Ataques a la Base de Conocimientos - Almacenamiento de Datos
El almacenamiento de datos es donde se organiza la información tras ser procesada. Las credenciales almacenadas en bases de datos como Pinecone o Aurora pueden ser un punto vulnerable. Un atacante que accede a estas credenciales puede obtener acceso administrativo completo, comprometiendo la integridad de la información.4. Ataques Directos a Agentes
Los agentes de Bedrock son orquestadores autónomos. Si un atacante tiene permisos para actualizar o crear agentes, puede modificar los prompts base, exponiendo instrucciones internas y permitiendo acciones no autorizadas bajo la apariencia de un flujo normal de trabajo.5. Ataques Indirectos a Agentes
Los ataques indirectos se dirigen a la infraestructura utilizada por los agentes. Un atacante puede inyectar código malicioso en funciones Lambda, lo que permite la ejecución de tareas dañinas sin ser detectado, afectando la respuesta de los modelos y exfiltrando datos sensibles.6. Ataques a Flujos
Los Flujos de Bedrock definen la secuencia de pasos para completar tareas. Un atacante puede inyectar nodos maliciosos en estos flujos, redirigiendo datos críticos hacia un punto de control, comprometiendo así la lógica de la aplicación sin causar interrupciones visibles.7. Degradación de Barreras de Protección
Los atacantes pueden utilizar permisos para desactivar las barreras de seguridad implementadas en Bedrock. Esto puede permitirles ejecutar acciones que normalmente estarían restringidas, aumentando el riesgo de ataques exitosos.8. Envenenamiento de Prompts
Al manipular los prompts, un atacante puede influir en las respuestas del modelo de IA, generando contenido perjudicial o engañoso que podría ser utilizado para fines maliciosos.Conclusión
La identificación de estos ocho vectores de ataque subraya la importancia de implementar medidas de seguridad robustas en AWS Bedrock. Las organizaciones deben estar alerta y considerar estrategias de mitigación para proteger su infraestructura y datos críticos ante posibles amenazas.