Quando um Atacante Encontra um Grupo de Agentes: Navegando pelas Aplicações Multiagentes do Amazon Bedrock

A Unit 42 realizou um red-teaming na funcionalidade de colaboração multiagente do Amazon Bedrock e demonstrou uma cadeia de ataque de quatro estágios contra implantações desprotegidas. Os estágios incluíram: fingerprinting do modo de operação via payloads criados para sondar a tag agent_scenarios e a ferramenta AgentCommunication__sendMessage(); enumeração de agentes colaboradores através de prompts de descoberta de engenharia social; entrega de payloads específicos do modo para sub-agentes alvo; e resultados de exploração como extração de instruções do sistema, divulgação de esquemas de ferramentas e invocações fraudulentas de ferramentas com entradas fornecidas pelo atacante.

Nenhuma vulnerabilidade no Bedrock foi identificada. Todos os ataques se basearam em prompt injection contra aplicações que utilizavam templates padrão sem guardrails habilitados. A ativação do pre-processing prompt e do prompt-attack Guardrail nativos do Bedrock bloqueia a cadeia de ataque demonstrada. As equipes devem aplicar um escopo restrito de capacidade de agente, validação de entrada de ferramentas em camada dupla e permissões de menor privilégio em todas as integrações agente-ferramenta.