AI辅助攻击者利用暴露凭证与宽松权限实现快速提权
威胁行为者借助大语言模型(LLM),在不到8分钟内完成从凭证窃取、权限提升、横向移动到GPU资源滥用的完整攻击链,其速度之快令防御者几乎无法反应。
Sysdig威胁研究团队最新报告显示,攻击者仅通过公共S3存储桶中暴露的单个凭证就获得了完整管理权限,这证明AI辅助自动化已将云攻击生命周期从数小时压缩至几分钟。2025年11月观测到的此次攻击,结合了云配置错误与大语言模型来加速整个攻击流程。
Acalvio公司CEO Ram Varadarajan指出:"当今网络安全格局已彻底改变。在这种威胁环境下,企业必须接受入侵速度已从数天缩短至分钟级。自动化攻击者现在能在几分钟内从初始访问升级至完全控制。"他强调防御此类攻击需要"能像自动化攻击者一样快速推理响应的AI技术"。
公共存储桶到权限提升的分钟级突破
入侵始于公共S3存储桶中暴露的有效AWS凭证。这些存储桶包含AI相关数据,关联的IAM用户拥有Lambda交互权限及有限的Amazon Bedrock访问权。Sysdig研究人员表示:"该用户可能是受害组织专门创建,用于通过Lambda函数自动化执行全环境Bedrock任务。"
获得环境读取权限后,攻击者快速枚举AWS服务,随后通过修改现有Lambda函数实现提权。通过向已具备过度宽松执行角色的函数注入恶意代码,攻击者成功为管理员用户创建新访问密钥,并直接从Lambda执行输出中获取。
Sectigo高级研究员Jason Soroko指出根本原因令人沮丧地熟悉:"我们必须穿透AI辅助的新奇表象,认清背后的基础性错误。整个入侵始于受害者在公共S3存储桶暴露有效凭证,这反映出对安全基础原则的顽固忽视。"Lambda代码显示出LLM生成特征,包括全面的异常处理、迭代式目标逻辑甚至非英语注释。
横向移动、LLM劫持与GPU滥用
获得管理员权限后,攻击者横向移动跨越19个AWS主体,通过担任多重角色和创建新用户来分散活动痕迹。研究人员指出,这种方式既维持了持久性又增加了检测难度。
攻击者随后转向Amazon Bedrock,枚举可用模型并确认模型调用日志记录处于关闭状态。研究人员发现多个基础模型被调用,符合"LLM劫持"特征。攻击最终升级为资源滥用:在准备密钥和安全组后,攻击者试图启动高端GPU实例运行机器学习任务。虽然多数高性能实例因容量限制启动失败,但最终仍成功运行了高成本GPU实例,并部署了安装CUDA、训练框架及公开JupyterLab接口的脚本。
部分代码被发现引用了不存在的资源库,Sysdig研究人员认为这是LLM幻觉所致。
防御窗口的消失
专家指出最令人不安的并非AI引入了新攻击技术,而是其消除了攻击者的犹豫。Keeper Security首席信息安全官Shane Barney强调:"当剥离技术细节,真正突出的是环境在攻击者获得合法访问后表现出的脆弱性。"他警告AI已将侦察、权限测试和横向移动压缩为"单一快速序列",消除了防御者传统依赖的缓冲时间。
Sysdig研究人员建议采取以下防护措施:严格实施IAM用户、角色和Lambda执行角色的最小权限原则;严密限制"UpdateFunctionCode"和"PassRole"等权限;确保敏感S3存储桶绝不公开;启用Lambda版本控制;开启Amazon Bedrock模型调用日志记录;监控大规模枚举活动。
)
)
