AI辅助攻击者利用暴露凭证与宽松权限实现快速提权

威胁行为者借助大语言模型（LLM），在不到8分钟内完成从凭证窃取、权限提升、横向移动到GPU资源滥用的完整攻击链，其速度之快令防御者几乎无法反应。

Sysdig威胁研究团队最新报告显示，攻击者仅通过公共S3存储桶中暴露的单个凭证就获得了完整管理权限，这证明AI辅助自动化已将云攻击生命周期从数小时压缩至几分钟。2025年11月观测到的此次攻击，结合了云配置错误与大语言模型来加速整个攻击流程。

Acalvio公司CEO Ram Varadarajan指出："当今网络安全格局已彻底改变。在这种威胁环境下，企业必须接受入侵速度已从数天缩短至分钟级。自动化攻击者现在能在几分钟内从初始访问升级至完全控制。"他强调防御此类攻击需要"能像自动化攻击者一样快速推理响应的AI技术"。

公共存储桶到权限提升的分钟级突破

入侵始于公共S3存储桶中暴露的有效AWS凭证。这些存储桶包含AI相关数据，关联的IAM用户拥有Lambda交互权限及有限的Amazon Bedrock访问权。Sysdig研究人员表示："该用户可能是受害组织专门创建，用于通过Lambda函数自动化执行全环境Bedrock任务。"

获得环境读取权限后，攻击者快速枚举AWS服务，随后通过修改现有Lambda函数实现提权。通过向已具备过度宽松执行角色的函数注入恶意代码，攻击者成功为管理员用户创建新访问密钥，并直接从Lambda执行输出中获取。

Sectigo高级研究员Jason Soroko指出根本原因令人沮丧地熟悉："我们必须穿透AI辅助的新奇表象，认清背后的基础性错误。整个入侵始于受害者在公共S3存储桶暴露有效凭证，这反映出对安全基础原则的顽固忽视。"Lambda代码显示出LLM生成特征，包括全面的异常处理、迭代式目标逻辑甚至非英语注释。

横向移动、LLM劫持与GPU滥用

获得管理员权限后，攻击者横向移动跨越19个AWS主体，通过担任多重角色和创建新用户来分散活动痕迹。研究人员指出，这种方式既维持了持久性又增加了检测难度。

攻击者随后转向Amazon Bedrock，枚举可用模型并确认模型调用日志记录处于关闭状态。研究人员发现多个基础模型被调用，符合"LLM劫持"特征。攻击最终升级为资源滥用：在准备密钥和安全组后，攻击者试图启动高端GPU实例运行机器学习任务。虽然多数高性能实例因容量限制启动失败，但最终仍成功运行了高成本GPU实例，并部署了安装CUDA、训练框架及公开JupyterLab接口的脚本。

部分代码被发现引用了不存在的资源库，Sysdig研究人员认为这是LLM幻觉所致。

防御窗口的消失

专家指出最令人不安的并非AI引入了新攻击技术，而是其消除了攻击者的犹豫。Keeper Security首席信息安全官Shane Barney强调："当剥离技术细节，真正突出的是环境在攻击者获得合法访问后表现出的脆弱性。"他警告AI已将侦察、权限测试和横向移动压缩为"单一快速序列"，消除了防御者传统依赖的缓冲时间。

Sysdig研究人员建议采取以下防护措施：严格实施IAM用户、角色和Lambda执行角色的最小权限原则；严密限制"UpdateFunctionCode"和"PassRole"等权限；确保敏感S3存储桶绝不公开；启用Lambda版本控制；开启Amazon Bedrock模型调用日志记录；监控大规模枚举活动。

参考来源：

From credentials to cloud admin in 8 minutes: AI supercharges AWS attack chain

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）