文章总结： 攻击者利用窃取的AWS凭证，借助AI辅助在10分钟内通过Lambda注入获得管理员权限。代码中的幻觉特征证实了AI参与。攻击者窃取数据并劫持Bedrock模型。建议实施最小权限原则，限制Lambda权限，确保S3私有并启用模型日志以防御此类自动化攻击。 综合评分： 85 文章分类： 威胁情报,云安全,红队,AI安全

借助AI辅助，AWS入侵者在不到10分钟的时间内获得管理员权限

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月5日 09:00 湖北

导读

一名网络入侵者闯入 AWS 云环境，在不到 10 分钟的时间内，借助 AI 加速功能，从初始访问权限升级到管理权限。

Sysdig 威胁研究团队表示，他们观察到 11 月 28 日发生的入侵事件，并指出该事件不仅速度极快，而且有“多项迹象”表明犯罪分子使用大型语言模型来自动化攻击的大部分阶段，从侦察和权限提升到横向移动、恶意代码编写和 LLM 劫持——使用被入侵的云帐户访问云托管的 LLM。

Sysdig威胁研究人员在一篇关于此次云入侵的博文中指出： “攻击者在不到10分钟的时间内就获得了管理员权限，入侵了19个不同的AWS账户，并滥用了Bedrock模型和GPU计算资源。LLM生成的代码带有塞尔维亚语注释，伪造了AWS账户ID，并引用了不存在的GitHub仓库，所有这些都表明此次攻击行动是由人工智能辅助的。”

攻击者最初通过窃取亚马逊公共 S3 存储桶中的有效测试凭证获得了访问权限。这些凭证属于一个身份和访问管理 (IAM) 用户，该用户对 AWS Lambda 拥有多项读写权限，但对 AWS Bedrock 的权限受到限制。此外，该 S3 存储桶还包含用于 AI 模型的检索增强生成 (RAG) 数据，这些数据在后续攻击中发挥了重要作用。

为防止此类凭证盗窃，请勿将访问密钥留在公共存储桶中。Sysdig 建议对 IAM 角色使用临时凭证；对于坚持向 IAM 用户授予长期凭证的组织，请务必定期轮换这些凭证。

在尝试使用通常与管理员级别权限相关的用户名（例如“sysadmin”和“netadmin”）未果后，攻击者最终通过 Lambda 函数代码注入实现了权限提升，滥用了被入侵用户的 UpdateFunctionCode 和 UpdateFunctionConfiguration 权限。

他们三次替换了名为 EC2-init 的现有 Lambda 函数的代码，每次都针对一个目标用户。第一次尝试的目标是 adminGH，尽管它的名字里有“admin”字样，但实际上它并没有管理员权限。随后的几次尝试最终成功攻破了管理员用户 frick 的账户。

研究人员注意到代码中的注释是用塞尔维亚语写的——这可能表明入侵者的来源——代码本身列出了所有 IAM 用户及其访问密钥，为 frick 创建了访问密钥，并列出了 S3 存储桶及其内容。

研究人员称，攻击者的代码包含“全面的”异常处理，包括限制 S3 存储桶列表的逻辑，以及将 Lambda 执行超时从 3 秒增加到 30 秒。

研究人员表示，这些因素，再加上从凭证被盗到 Lambda 执行的时间间隔很短，“强烈暗示”该代码是由 LLM 编写的。

接下来，不法分子开始收集账户 ID，并试图在所有 AWS 环境中获取 OrganizationAccountAccessRole 角色。值得注意的是，他们收集的账户 ID 中包含一些不属于受害组织的账户：两个账户 ID 分别对应升序和降序数字（123456789012 和 210987654321），还有一个 ID 看起来像是属于一个合法的外部账户。

这种行为与通常归因于人工智能幻觉的模式一致，为 LLM 辅助活动提供了进一步的潜在证据。

攻击者总共获得了 19 个 AWS 身份的访问权限，其中包括 14 个会话中的 6 个不同的 IAM 角色，以及 5 个其他 IAM 用户。

然后，利用他们创建的新管理员用户帐户，犯罪分子窃取了大量敏感数据：来自 Secrets Manager 的密钥、来自 EC2 Systems Manager 的 SSM 参数、CloudWatch 日志、Lambda 函数源代码、来自 S3 存储桶的内部数据以及 CloudTrail 事件。

LLM劫持攻击

随后，他们转向LLM 劫持攻击，以获取受害者云端托管的 LLM 的访问权限。他们滥用了用户的 Amazon Bedrock 访问权限，调用了包括 Claude、DeepSeek、Llama、Amazon Nova Premier、Amazon Titan Image Generator 和 Cohere Embed 在内的多个模型。

在攻击 Bedrock 之后，入侵者将目标转向 EC2，查询适用于深度学习应用的机器镜像。他们还开始使用受害者的 S3 存储桶进行存储，其中存储的一个脚本看起来像是用于机器学习训练的——但它使用的 GitHub 仓库并不存在，这表明机器学习管理员在生成代码时可能凭空想象出了该仓库。

研究人员表示他们无法确定攻击者的目标——可能是模型训练或转售计算访问权限——但他们指出，该脚本在 8888 端口上启动了一个可公开访问的 JupyterLab 服务器，为实例提供了一个不需要 AWS 凭证的后门。 五分钟后，攻击者出于不明原因终止了该实例。

这是攻击者越来越多地依赖人工智能来帮助他们完成攻击链几乎每个阶段的最新例证，一些安全主管警告说，犯罪分子大规模地完全自动化攻击只是时间问题。

企业可以采取一些措施来防御类似的入侵，其中大多数都涉及加强身份安全和访问管理。首先：对所有身份和访问管理 (IAM) 用户和角色应用最小权限原则。

Sysdig 还建议限制 Lambda 中的 UpdateFunctionConfiguration 和 PassRole 权限，将 UpdateFunctionCode 权限限制为特定函数，并仅将其分配给需要代码部署功能才能完成工作的身份。

此外，应确保包含敏感数据（包括 RAG 数据和 AI 模型工件）的 S3 存储桶无法公开访问。

启用 Amazon Bedrock 的模型调用日志记录功能，以便检测未经授权的使用情况，也是一个好主意。

Sysdig官方博客：

《AI辅助的云端入侵在8分钟内实现了管理员权限访问》

https://www.sysdig.com/blog/ai-assisted-cloud-intrusion-achieves-admin-access-in-8-minutes

新闻链接：

https://www.theregister.com/2026/02/04/aws_cloud_breakin_ai_assist

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《借助AI辅助，AWS入侵者在不到10分钟的时间内获得管理员权限》