تلقت وكالة مكونة من ثلاثة أشخاص بفاتورة AWS عادية بقيمة 10 إلى 15 دولارًا أمريكيًا شهريًا رسومًا بقيمة 14000 دولارًا أمريكيًا في يوم واحد بعد أن استخرج المهاجمون مفاتيح الوصول الثابتة من مثيل EC2 وحرقوا استدعاءات نموذج Claude على Amazon Bedrock.
وصف توبياس شميدت، أحد مستشاري AWS، الحادثة على LinkedIn: لقد جرب الفريق برنامج Bedrock chatbot باستخدام مفاتيح الوصول الموجودة، وأدى وجود اثنين من الإعدادات الافتراضية إلى تضخيم الضرر. كانت المفاتيح تحمل Bedrock Full Access، وقد قامت AWS بإزالة مفتاح تبديل الوصول إلى النموذج في عام 2025، مما أدى إلى تمكين جميع النماذج افتراضيًا. علاوة على ذلك، تم تصميم التطبيق لاستخدام Haiku، مع فاتورة متوقعة أقل من 100 دولار.
وهذه ليست الحادثة الأولى من نوعها؛ على الأقل يتكرر النمط عبر منتديات التكلفة السحابية. يحرق وكيل الذكاء الاصطناعي أو بيانات اعتماد الوكيل المسربة آلاف الدولارات قبل أن يلاحظ أي شخص، لأن تنبيهات الفوترة السحابية تتأخر بمقدار يوم تقريبًا عن الإنفاق الفعلي. تُظهر كلا الحادثتين، اللتين تم توثيق كل منهما من قبل الممارسين المعنيين، نفس عدم التطابق الهيكلي بين سرعة الإنفاق المستقلة وحواجز الحماية المصممة لأخطاء السرعة البشرية.
الحالة الأكثر تفصيلاً هي حادثة DN42 التي وقعت في شهر مايو، والتي وثقها مهندس الشبكة Lan Tian وتمت مناقشتها باستفاضة على موقع Hacker News. أعطى أحد المشغلين وكيلًا مستقلاً وصولاً كاملاً إلى AWS وموعدًا نهائيًا لفحص المنفذ DN42، وهي شبكة BGP للهواة حيث تعمل معظم العقد على مثيلات VPS الصغيرة. قرر الوكيل أن المهمة تتطلب خمس مثيلات m8g.12xlarge تحتوي كل منها على 48 وحدة معالجة مركزية افتراضية ونطاق ترددي يبلغ 22.5 جيجابت في الثانية، بالإضافة إلى موازنات التحميل ووظائف Lambda، لفحص مساحة العنوان “بسرعة 20 جيجابت في الثانية مع القدرة على التكرار وتجاوز الفشل“. ثم أعادت تطبيق قالب CloudFormation الخاص بها بشكل متكرر، مما أدى إلى تكرار المكدس. لاحظ المشغل بعد يوم واحد عندما تم تحصيل رسوم من بطاقته بقيمة 6,531.30 دولارًا أمريكيًا. وتفاوضت AWS لاحقًا على خفض الفاتورة إلى 1,894 دولارًا أمريكيًا. كان عبء العمل، وفقًا لتقديرات المجتمع، مناسبًا لخادم VPS بقيمة 5 دولارات شهريًا.
القاسم المشترك بين الحادثتين هو أن الاكتشاف جاء من بطاقة الائتمان، وليس من AWS. تتأخر بيانات الفوترة في Cost Explorer لمدة تصل إلى 24 ساعة. يتم تقييم ميزانيات AWS وفقًا لتلك البيانات المتأخرة، لذلك يتم تفعيل إجراءات الميزانية بعد إنفاق الأموال. وقد صاغ ماغنوس إريكسون، مهندس السحابة والموظف السابق في AWS، الأمر بصراحة في التعليقات على منشور شميدت:
من المؤسف أن ضوابط ميزانية AWS ليست فعالة جدًا حيث يتم تأخير الفواتير لمدة 24 ساعة. يجب أن يؤدي هوس العملاء الحقيقي إلى قيام AWS بتشغيل الفواتير على الأقل “في الوقت الفعلي”.
أوضح إيجور جدانكو، مهندس الحلول في شركة Regula، لماذا أصبحت بيانات اعتماد GenAI فئة متميزة من الأهداف:
ما زلت أرى المزيد من الحوادث مثل هذه حول بيدروك. باستخدام الموارد السحابية التقليدية، لا يزال المهاجمون بحاجة إلى بنية تحتية يمكنهم تحقيق الدخل منها. باستخدام GenAI APIs، يمكن أن تتحول بيانات الاعتماد المسروقة إلى آلاف الدولارات قيد الاستخدام على الفور تقريبًا. يجب أن تكون أدوار IAM، والامتيازات الأقل، وقيود النموذج، والميزانيات، ومفتاح الإيقاف التلقائي قياسية منذ اليوم الأول.
ويعيد هذا التمييز صياغة نموذج التهديد. يتطلب المفتاح المسروق المستخدم في تعدين العملات المشفرة من المهاجم توفير المثيلات والتهرب من الاكتشاف وتحويل الحساب إلى عملة على مدار أيام. يتحول المفتاح المسروق مع الوصول إلى Bedrock مباشرة إلى استدعاءات نموذجية قابلة لإعادة البيع بسرعة واجهة برمجة التطبيقات (API)، دون وجود بنية تحتية لتشغيل المهاجم وعدم وجود تأخير بين السرقة وتحقيق الدخل.
يجادل تحليل المتابعة الذي أجراه شميدت بأن حالات الفشل كان من الممكن منعها من خلال الضوابط الحالية المطبقة قبل الحكم الذاتي، وليس بعده:
SCPs التي تحظر عائلات المثيلات باهظة الثمن في حسابات الأعضاء. الوكيل الذي يمكنه إطلاق حالات صغيرة فقط يحد من الضرر الذي يلحقه. CloudTrail مع تنبيهات على RunInstances لأنواع المثيلات الكبيرة. ستعرف في غضون دقائق، وليس عندما يتم شحن البطاقة. تعتبر ميزانيات AWS والكشف عن شذوذ التكلفة بمثابة شبكة أمان عندما يفشل كل شيء آخر.
ملخصه للحظة:
نقوم جميعًا بتسليم بيانات الاعتماد السحابية للوكلاء في الوقت الحالي. الدرابزين أولا، الحكم الذاتي ثانيا.
حتى هذا النهج متعدد الطبقات به فجوة توقيت حددها ممارس آخر في الموضوع: يتم تقييم إجراءات الميزانية بناءً على إيقاع تحديث ميزانية AWS، لذلك يمكن تشغيل انفجار سرقة المفتاح لساعات قبل أن تصل SCP، والتي تغطي أسعار Claude على Bedrock مبلغ 14000 دولار بالكامل. يؤدي اكتشاف الحالات الشاذة لكل خدمة التي تم تحديدها إلى Bedrock، بدلاً من إجمالي الحساب، إلى تقصير تلك النافذة. الانعكاس الأعمق: يسجل CloudTrail استدعاء RunInstances أو InvocModel في غضون دقائق، بينما تظهر تكلفته في بيانات الفوترة بعد يوم واحد. تقوم الفرق التي تنبه عند أحداث الإمداد بالقبض على العملاء الهاربين في وقت العمل؛ الفرق التي تنبه إلى الإنفاق تلتقطهم في وقت الفاتورة. بالنسبة إلى توفير الوكيل في حلقة، يكون الفرق هو الفاتورة بأكملها.
أنماط الهوية مهمة بقدر أهمية التنبيه. تتبع الحادث الذي تبلغ قيمته 14 ألف دولار مفاتيح الوصول الثابتة في مثيل EC2، وهو نمط جعلته أدوار IAM غير ضروري لأكثر من عقد من الزمن. تتتبع حادثة DN42 بيانات اعتماد واحدة تتمتع بحقوق توفير غير مقيدة ولا يوجد نطاق إنفاق. تعمل بيانات الاعتماد المحددة النطاق، والرموز المميزة قصيرة العمر، وSCPs التي تمنع عائلات المثيلات باهظة الثمن من الوصول إلى الحسابات التي يديرها الوكيل، على تحويل حادث مكون من خمسة أرقام إلى استدعاء API محظور.
بالنسبة للفرق التي تمنح الوكلاء بيانات اعتماد سحابية اليوم، تتبع بنية البداية وضعي الفشل. قم بتشغيل حمل عمل كل وكيل في حساب عضو مخصص، بحيث يمكن لـ SCP رفض مجموعات المثيلات الكبيرة والمجموعات النموذجية غير المستخدمة دون التأثير على أي شيء آخر. تنبيه حدث Wire CloudTrail على RunInstances وInvocModel وCreateStack قبل إصدار بيانات الاعتماد الأولى، لأن هذا التنبيه يعمل في وقت الإجراء بينما يعمل كل عنصر تحكم قائم على الميزانية في وقت الفاتورة. استخدم أدوار IAM أو الرموز المميزة قصيرة العمر حصريًا، وقم بنطاق الوصول الأساسي إلى النماذج المحددة التي يستدعيها التطبيق بدلاً من قبول الوصول الكامل الافتراضي. ولا يتطلب أي من هذا أدوات جديدة؛ كان من الممكن أن تنتهي كلتا الحادثتين باستدعاءات واجهة برمجة التطبيقات (API) المحظورة بموجب الضوابط الموجودة منذ سنوات.
كانت الوجبات الجاهزة لمشغل DN42، وفقًا لسجلات دردشة Lan Tian، هي أن “في المرة القادمة هناك حاجة إلى وكيل أفضل.” كان رد مجتمع DN42 على IRC هو حظر الوكيل واعتماد قاعدة جديدة: يمكن للأشخاص الحقيقيين فقط المشاركة. وبين هذين التفاعلين يوجد العمل الفعلي: يقوم موفرو السحابة بإغلاق الفجوة بين الإنفاق والرؤية، وتتعامل فرق النظام الأساسي مع بيانات اعتماد الوكيل بنفس نصف القطر الانفجاري الذي يتم تطبيقه على مفاتيح نشر الإنتاج.
