Pesquisadores identificaram oito vetores de ataque no AWS Bedrock, plataforma da Amazon usada para criar aplicações com IA generativa.
A análise mostra que o risco não está apenas nos modelos, mas principalmente nas permissões, integrações e fluxos conectados ao ambiente, que podem abrir caminho para exfiltração de dados, manipulação de agentes e acesso indevido a sistemas corporativos.
O estudo aponta que um dos caminhos mais sensíveis envolve os logs de invocação de modelos.
Como o Bedrock registra interações para auditoria, um invasor com permissões inadequadas pode ler dados armazenados em buckets S3 ou até redirecionar esses logs para um ambiente sob seu controle, capturando prompts e respostas sem levantar suspeitas.
A mesma trilha também pode ser usada para apagar evidências de atividade maliciosa.
Outro foco crítico está nas Knowledge Bases, usadas para conectar modelos a dados corporativos em arquiteturas de RAG.
Segundo os pesquisadores, um atacante pode acessar diretamente fontes como S3, Salesforce, SharePoint e Confluence, ou roubar credenciais usadas nessas integrações, abrindo espaço para movimentação lateral e acesso a ativos fora da camada de IA.
A pesquisa também destaca riscos no armazenamento dos dados já indexados.
Em bases vetoriais como Pinecone e Redis Enterprise Cloud, assim como em serviços nativos como Aurora e Redshift, o problema pode estar nas credenciais e na conectividade associadas ao ambiente.
Com o conjunto certo de permissões, o invasor pode obter acesso administrativo à base de conhecimento.
Para reduzir a exposição, a principal recomendação é revisar permissões associadas a workloads de IA, mapear caminhos de ataque entre nuvem e ambiente interno e reforçar controles sobre logs, prompts, agentes e bases de conhecimento.
