Unit 42 de Palo Alto Networks publicó un análisis que examina el sistema multientidad de Amazon Bedrock desde la perspectiva de una fuerza roja. Los investigadores demuestran cómo, bajo ciertas condiciones, un adversario podría progresar a través de una cadena de ataques al determinar el modo operativo del aplicación (Supervisor o Supervisor con Ruteo), descubrir agentes colaboradores y ejecutar acciones maliciosas. Estos ataques incluyen la divulgación de instrucciones y esquemas de herramientas, y su invocación con entradas proporcionadas por el atacante.
No se identificaron vulnerabilidades en Amazon Bedrock; sin embargo, los ensayos mostraron que las barreras de protección integradas (Guardrails) de Bedrock detuvieron los ataques cuando fueron configuradas correctamente. Sin embargo, estos hallazgos reafirman la necesidad de proteger sistemas que dependen de modelos de lenguaje en gran escala (LLM), ya que no pueden diferenciar entre instrucciones definidas por el desarrollador e input adversario.
Los investigadores realizaron sus pruebas en agentes Bedrock propios, limitándose a la lógica del agente y las integraciones de aplicación.