Bedrock protokolliert jede Modellinteraktion für Compliance und Auditing – und schafft damit laut XM Cyber eine verdeckte Angriffsfläche. Häufig genügt es, den bestehenden S3-Bucket auszulesen, um sensible Daten abzugreifen. Ist das nicht möglich, kann ein Angreifer über die Berechtigung bedrock:PutModelInvocationLoggingConfiguration die Logs in einen eigenen Bucket umleiten, sodass fortan jeder Prompt unbemerkt bei ihm landet. Eine zweite Variante zielt direkt auf die Protokolle: Mit s3:DeleteObject oder logs:DeleteLogStream lassen sich Spuren von Jailbreak-Aktivitäten beseitigen und die forensische Auswertung untergraben.

Bedrock Knowledge Bases verbinden Foundation-Modelle per Retrieval Augmented Generation (RAG) mit firmeneigenen Daten. Die angebundenen Quellen – S3-Buckets, Salesforce, SharePoint, Confluence – sind direkt aus Bedrock erreichbar. Wer s3:GetObject-Zugriff auf eine solche Datenquelle besitzt, kann das Modell umgehen und Rohdaten direkt aus dem Bucket ziehen. Kritischer noch: Mit den Rechten, ein Secret abzurufen und zu entschlüsseln, lassen sich die Zugangsdaten stehlen, mit denen Bedrock sich an integrierte SaaS-Dienste anbindet. Im Fall von SharePoint könnten diese Anmeldedaten laut den Forschern eine seitliche Bewegung ins Active Directory ermöglichen.

Auch der Datenspeicher selbst ist betroffen. Bei verbreiteten Vektordatenbanken wie Pinecone und Redis Enterprise Cloud sind hinterlegte Zugangsdaten oft das schwächste Glied: Über das StorageConfiguration-Objekt der bedrock:GetKnowledgeBase-API lassen sich Endpunkte und API-Schlüssel auslesen und so vollständige administrative Kontrolle über die Vektorindizes erlangen. Bei AWS-eigenen Speichern wie Aurora und Redshift verschaffen abgefangene Zugangsdaten direkten Zugriff auf die strukturierte Wissensdatenbank.

Bedrock Agents agieren als autonome Orchestratoren. Mit bedrock:UpdateAgent oder bedrock:CreateAgent kann ein Angreifer den Basis-Prompt eines Agenten umschreiben und ihn zwingen, interne Anweisungen und Tool-Schemata preiszugeben. In Kombination mit bedrock:CreateAgentActionGroup lässt sich ein bösartiger Executor an einen legitimen Agenten anhängen – etwa für unbefugte Datenbankänderungen oder das Anlegen von Nutzern unter dem Deckmantel eines normalen KI-Workflows. Indirekte Angriffe zielen stattdessen auf die Infrastruktur: Mit lambda:UpdateFunctionCode oder lambda:PublishLayer lässt sich Schadcode in jene Lambda-Funktion einschleusen, die ein Agent zur Ausführung von Aufgaben nutzt.

Bedrock Flows definieren die Abfolge der Schritte, die ein Modell zur Lösung einer Aufgabe durchläuft. Mit bedrock:UpdateFlow kann ein Angreifer einen zusätzlichen “S3 Storage Node” oder “Lambda Function Node” in den Hauptdatenpfad einschleusen und so Ein- und Ausgaben an einen kontrollierten Endpunkt umleiten, ohne die Anwendungslogik zu stören. Ebenso lassen sich “Condition Nodes” verändern, die Geschäftsregeln durchsetzen, um Autorisierungsprüfungen zu umgehen. Eine dritte Variante tauscht den Customer Managed Key eines Flows gegen einen eigenen Schlüssel aus.

Guardrails sind Bedrocks zentrale Verteidigungsschicht und filtern toxische Inhalte, blockieren Prompt-Injection und schwärzen personenbezogene Daten. Mit bedrock:UpdateGuardrail lassen sich diese Filter gezielt schwächen, mit bedrock:DeleteGuardrail vollständig entfernen.

Bedrock Prompt Management bündelt Prompt-Vorlagen über Anwendungen und Modelle hinweg. Wer bedrock:UpdatePrompt besitzt, kann diese Vorlagen direkt verändern und etwa schädliche Anweisungen einbetten. Da Prompt-Änderungen kein erneutes Ausrollen der Anwendung auslösen, lässt sich das Verhalten der KI laut XM Cyber “im laufenden Betrieb” manipulieren, was die Erkennung durch klassische Anwendungsüberwachung erheblich erschwert. Wechselt ein Angreifer die Version eines Prompts auf eine vergiftete Variante, wird jeder Agent oder Flow, der diesen Bezeichner aufruft, unmittelbar unterwandert.

Laut XM Cyber genügt eine einzige überprivilegierte Identität, um Logs umzuleiten, einen Agenten zu kapern, einen Prompt zu vergiften oder von einem Brückenkopf in Bedrock aus kritische On-Premises-Systeme zu erreichen. Vollständige technische Details samt Architekturdiagrammen stellt das Team im Bericht “Building and Scaling Secure Agentic AI Applications in AWS Bedrock” bereit.