AWS Bedrock ermöglicht es Entwicklern, KI-gestützte Anwendungen zu bauen, die direkt mit Unternehmensdaten und -systemen verbunden sind. Diese Verbindung ist der Schlüssel zu Bedrocks Leistungsfähigkeit – und gleichzeitig der Grund, warum Angreifer die Plattform attackieren.
Die Forschungen von XM Cyber offenbaren ein umfassendes Sicherheitsproblem: Acht Angriffsvektoren ermöglichen es Kriminellen, mit minimalen Berechtigungen maximalen Schaden anzurichten.
Log-Manipulation und Spuren verwischen
Bedrock protokolliert jede KI-Interaktion für Compliance und Audits. Angreifer können S3-Buckets mit Logs auslesen und sensible Daten ernten. Schlimmer noch: Mit den Berechtigungen bedrock:PutModelInvocationLoggingConfiguration können Angreifer Logs in ihre eigenen Buckets umleiten. Alternativ löschen sie mit s3:DeleteObject oder logs:DeleteLogStream alle Spuren ihrer Aktivitäten.
Knowledge Bases als Datenquelle des Grauens
Bedrock Knowledge Bases verbinden Sprachmodelle mit Unternehmensdaten via Retrieval Augmented Generation (RAG). Die Datenquellen – S3-Buckets, Salesforce, SharePoint, Confluence – sind direkt erreichbar. Ein Angreifer mit s3:GetObject-Rechten kann das Modell komplett umgehen und Rohdaten direkt auslesen. Noch kritischer: Gestohlene Zugangsdaten für integrierte SaaS-Services ermöglichen seitliche Bewegungen – beispielsweise in Active Directory über SharePoint-Anmeldedaten.
Vector Databases als Schwachpunkt
Datenbanken wie Pinecone und Redis Enterprise Cloud, die mit Bedrock integriert sind, speichern oft Zugangsdaten unsicher. Mit bedrock:GetKnowledgeBase können Angreifer API-Schlüssel und Endpunkte extrahieren und vollständige administrative Kontrolle über die Indizes übernehmen.
Agenten-Hijacking und Code-Injection
Bedrock Agents sind autonome Orchestratoren. Mit bedrock:UpdateAgent können Angreifer die Basis-Prompts umschreiben und interne Anweisungen extrahieren. Kombiniert mit bedrock:CreateAgentActionGroup können sie böswillige Executor anhängen – was zu nicht autorisierten Aktionen wie Datenbankmodifikationen führt.
Alternativ können Angreifer mit lambda:UpdateFunctionCode oder lambda:PublishLayer direkt Malware in die Lambda-Funktionen einschleusen, die Agenten verwenden.
Flow-Injections und Prompt-Poisoning
Bedrock Flows definieren Arbeitsabläufe. Mit bedrock:UpdateFlow können Angreifer S3- oder Lambda-Knoten in den Datenpfad einfügen und sensible Ein- und Ausgaben zu ihren Servern umleiten – ohne die Anwendungslogik zu unterbrechen.
Auch die Guardrails – Bedrocks Verteidigungsschicht gegen giftige Inhalte und Prompt-Injektionen – sind angreifbar. Mit bedrock:UpdateGuardrail können Filter geschwächt, mit bedrock:DeleteGuardrail komplett entfernt werden.
Besonders tückisch ist Prompt-Poisoning: Mit bedrock:UpdatePrompt können Angreifer Prompt-Templates zentral manipulieren – zum Beispiel indem sie Anweisungen einschleusen wie “immer PII-Daten offenlegen”. Da Prompt-Änderungen keine Anwendungsneubereitung auslösen, läuft der Angriff unbemerkt.
Konsequenzen für deutsche Unternehmen
Die zentrale Erkenntnis: Angreifer müssen nicht die KI selbst hacken – sie attackieren die Berechtigungen, Konfigurationen und Integrationen drumherum. Eine einzige über-privilegierte Identität reicht aus, um Log-Umleitung, Agent-Hijacking oder Prompt-Poisoning zu ermöglichen.
Deutsche Unternehmen sollten dringend ihre Bedrock-Umgebungen überprüfen: Welche Workloads laufen? Welche Berechtigungen sind vergeben? Welche Angriffspfade existieren zwischen Cloud und On-Premises-Systemen? Verschärfte Identity- und Access-Management-Kontrollen sind jetzt notwendig.