AWS云安全新威胁：AI辅助攻击8分钟内完成从凭证泄露到权限提升全过程

Part 01 AI辅助攻击者实现快速提权

一次在公共S3存储桶中暴露的凭证，是如何在人工智能的“加持”下，让攻击者在短短8分钟内就夺取了整个AWS环境的控制权？这听起来像是电影情节，却真实地发生在了2025年11月。

根据Sysdig威胁研究团队发布的最新报告，攻击者借助大语言模型（LLM），在不到8分钟的时间里，就完成了一条从凭证窃取、权限提升、横向移动到最终滥用GPU资源的完整渗透测试攻击链。这种闪电般的速度，几乎不给防御团队留下任何反应时间。

报告显示，攻击者仅通过一个暴露的凭证就获得了完整的管理员权限，这清晰地表明，AI辅助的自动化攻击已将云攻击的生命周期从过去可能需要数小时，压缩到了以分钟计算的级别。这起结合了云配置错误与大语言模型来加速攻击流程的事件，为我们敲响了警钟。

Acalvio公司CEO Ram Varadarajan对此评论道：“当今的网络安全格局已经彻底改变。在这种新的威胁环境下，企业必须接受一个事实：入侵速度已从过去的数天缩短到了分钟级。”他进一步强调，自动化攻击者现在有能力在几分钟内，从最初的访问点迅速升级到对环境的完全控制。要防御此类攻击，同样需要“能够像自动化攻击者一样快速推理和响应的AI技术”。

Part 02 从公共存储桶到权限提升的分钟级突破

这场闪电入侵的起点，是一个配置不当的公共S3存储桶，里面暴露了有效的AWS凭证。这些存储桶中存放着与AI相关的数据，而关联的IAM用户恰好拥有与Lambda交互的权限，以及对Amazon Bedrock服务的有限访问权。Sysdig的研究人员推测：“这个用户很可能是受害组织专门创建，用于通过Lambda函数自动化执行涉及全环境的Bedrock任务。”

一旦获得这个初始立足点，攻击者的动作快如闪电。首先，他们利用获取的环境读取权限，快速枚举了可用的AWS服务。紧接着，攻击的焦点转向了权限提升——通过修改一个现有的Lambda函数来实现。

攻击者的策略非常巧妙：他们找到了一个已具备过度宽松执行角色的Lambda函数，然后向其中注入恶意代码。通过这种方式，他们成功地创建了一个新的管理员用户访问密钥，并直接从Lambda函数的执行输出中获取了这个关键凭证。Sectigo的高级研究员Jason Soroko一针见血地指出了问题的根源：“我们必须穿透AI辅助带来的新奇表象，认清其背后的基础性错误。整个入侵始于受害者在公共S3存储桶中暴露了有效凭证，这反映出对云原生环境基础安全原则的顽固忽视。”研究人员发现，这些被注入的Lambda代码带有明显的LLM生成特征，包括全面的异常处理、迭代式的目标逻辑，甚至还有非英语的注释。

Part 03 横向移动、LLM劫持与GPU滥用

手握管理员权限后，攻击并未停止。攻击者开始了复杂的横向移动，其活动足迹跨越了19个不同的AWS主体。他们通过担任多重角色和创建新用户来分散活动痕迹，这种方式不仅维持了攻击的持久性，也大大增加了安全团队检测的难度。

随后，攻击者的目标转向了Amazon Bedrock服务。他们枚举了环境中可用的大语言模型，并确认了相关的模型调用日志记录处于关闭状态。研究人员在日志中发现了多个基础模型被调用，这符合典型的“LLM劫持”攻击特征。

攻击的最终阶段升级为了赤裸裸的资源滥用。在准备好必要的密钥和安全组规则后，攻击者开始尝试启动高端的GPU实例来运行机器学习任务。虽然大部分高性能实例由于容量限制启动失败，但他们最终还是成功运行了高成本的GPU实例。攻击者部署了一个脚本，该脚本负责安装CUDA、训练框架，并公开了一个JupyterLab接口供其使用。有趣的是，部分代码被发现引用了根本不存在的资源库，Sysdig的研究人员认为，这很可能是LLM在生成代码时产生的“幻觉”所致。

Part 04 防御窗口的消失

专家们指出，这次事件中最令人不安的并非AI引入了什么全新的攻击技术，而是它彻底消除了攻击者在攻击过程中的犹豫和延迟。Keeper Security的首席信息安全官Shane Barney强调：“当我们剥离所有技术细节后，真正凸显出来的是整个环境在攻击者获得合法访问凭证后所表现出的惊人脆弱性。”他警告说，AI已经将侦察、权限测试和横向移动这些步骤压缩成了一个“单一且快速的序列”，从而消除了防御者传统上所依赖的缓冲和反应时间。

那么，企业该如何应对这种分钟级的AI驱动威胁呢？Sysdig的研究团队提出了以下核心防护建议：

• 贯彻最小权限原则：严格限制IAM用户、角色以及Lambda执行角色的权限，只授予完成任务所必需的最低权限。
• 严控关键权限：对诸如 UpdateFunctionCode 和 PassRole 这类高风险权限的实施进行严密监控和限制。
• 保障存储桶安全：确保任何敏感的S3存储桶绝不设置为公开访问，并定期进行配置审计。
• 启用Lambda版本控制：利用版本控制功能来跟踪函数代码的变更，便于回滚和审计。
• 开启全面日志记录：务必启用Amazon Bedrock的模型调用日志记录功能。
• 监控异常活动：建立监控机制，对短时间内发生的大规模服务枚举或API调用活动保持高度警惕。

参考来源：

• From credentials to cloud admin in 8 minutes: AI supercharges AWS attack chain
  https://www.csoonline.com/article/4126336/from-credentials-to-cloud-admin-in-8-minutes-ai-supercharges-aws-attack-chain.html

安全攻防的节奏正在被AI重新定义。面对攻击链条被极度压缩的新常态，云环境的安全建设必须从基础做起，并引入更智能、更快速的主动防御能力。更多关于人工智能与安全的前沿讨论，欢迎访问云栈社区进行交流。