許多企業在導入 AI Agent(AI 代理人,指能自主執行任務、存取數據並與外部系統互動的 AI 系統)時,安全團隊的注意力往往集中在 AI 層級的威脅,例如 Prompt Injection(提示詞注入,透過精心設計的輸入誘導 AI 執行非預期指令)或 Model Poisoning(模型中毒,在訓練數據中植入惡意資訊)。然而,這種做法忽略了一個致命的盲點:AI Agent 並非獨立存在,它們運行在企業既有的舊有基礎設施(Legacy Infrastructure)之上。
對於工程師來說,最重要的一點是:攻擊者不需要正面攻擊 AI 模型,他們只需要攻破 AI Agent 所依賴的底層資源,就能達成劫持目的。
AI Agent 的權限繼承問題
AI Agent 在運作時,本質上就像環境中的另一個資產。它們需要透過現有的 Identity Provider(身分提供者,如 Azure AD 或 Okta)進行認證,將數據存放在既有的 Cloud Buckets(雲端儲存桶,如 AWS S3),並透過 Lambda Functions(無伺服器函數,一種事件驅動的運算服務)執行任務。
這意味著 AI Agent 繼承了企業多年來累積的技術債。更危險的是,為了讓 AI Agent 順利運作,許多組織會給予它們過高的權限。實務數據顯示,約 70% 的組織給予 AI 系統的權限高於執行相同職能的人類員工。當 AI 擁有過高權限(Over-privileged)時,一旦底層權限被奪取,攻擊者就能直接利用這些權限在企業內部橫向移動。
從舊漏洞到 AI 劫持的攻擊路徑分析
為了讓大家理解這個脈絡,我們可以用一個典型的企業場景來分析攻擊路徑。假設一個客戶成功團隊使用部署在 AWS Bedrock 上的 AI Co-Pilot,該代理人會讀取儲存在 S3 儲存桶中的 Salesforce 客戶數據。
第一階段:權限配置錯誤 開發人員 John 在設定 S3 儲存桶時,給予了過寬的讀取權限。雖然 John 平時不需要讀取生產環境的敏感數據,但他的帳號卻擁有權限。這在單獨看時只是個中等風險的配置錯誤。
第二階段:未修補的邊緣伺服器 公司邊緣有一台運行 Apache Tomcat 的伺服器,存在一個已知的遠端程式碼執行漏洞(CVE)。攻擊者利用此漏洞進入伺服器,並從記憶體中傾印出快取憑證,奪取了一個加入 Active Directory(AD,微軟的目錄服務,用於管理網路資源與身分認證)的使用者帳號。
第三階段:AD 橫向移動與憑證竊取 攻擊者利用 AD 中的 Resource-Based Constrained Delegation(基於資源的受限委派,一種允許服務代表使用者存取資源的機制)配置錯誤,偽裝成 John 並進入他的工作站。由於 John 在本地端使用 AWS CLI 管理雲端資源,其存取金鑰(Access Keys)被儲存在本地,攻擊者隨即將其竊取。
最終結果 攻擊者現在擁有了 John 的 AWS 金鑰,可以直接讀取 S3 儲存桶中所有餵給 AI Agent 的知識庫數據。此時,AI Agent 已被完全劫持。攻擊者可以控制 AI 讀取什麼、信任什麼以及回傳給使用者的答案。整個過程中,攻擊者完全沒有觸碰到 AI 模型本身,而是透過一個舊伺服器漏洞、一個 AD 配置錯誤和一個過寬的雲端權限,串聯成一條致命的攻擊路徑。
如何防禦:從暴露管理出發
傳統的安全管理將網路、身分、雲端與 AI 分開處理。在這種模式下,上述的三個漏洞可能分別被標記為中低風險,導致修補優先級被降低。但當它們被串聯在一起時,風險等級會瞬間飆升至最高級。
要解決這個問題,安全團隊需要採取 Exposure Management(暴露管理,一種主動識別、分析並優先處理攻擊路徑的方法),將 AI Agent 的依賴項(如知識庫、儲存桶、Lambda 函數)視為關鍵資產。
實務上的防禦建議如下:
首先,建立資產映射。從 AI Agent 出發,反向追蹤所有連接到該資產的身分關係、權限與基礎設施。
其次,尋找扼點(Choke Points)。在複雜的攻擊路徑中,通常存在某些關鍵節點,只要修補該處的單一漏洞,就能同時阻斷多條通往 AI 資產的路徑。
最後,落實最小權限原則(Least Privilege)。嚴格限制 AI Agent 及其開發者的權限,確保即使底層基礎設施被攻破,攻擊者也無法獲取高價值數據。
總結
AI 的部署速度遠快於安全防護的更新速度。攻擊者不需要研發針對 AI 的新技術,他們只需要利用舊的漏洞,在一個允許他們橫向移動的環境中,就能輕易劫持最新的 AI 代理人。保護 AI 的關鍵,不在於為 AI 加上多少護欄,而是在於清理那些被遺忘的舊系統與權限債。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。