May Recap: New AWS Privileged Permissions and Services
5 月份的新 AWS 权限涵盖计算网络、基因组管道、容器编排和外部 AI 平台。服务类别多种多样,但风险模式是一致的。五月的中心主题是“基础设施劫持”。这些权限共享一个共同的攻击路径:每个权限都可以扩展攻击者控制的基础设施的范围,用任意的 [...] 替换合法的工作负载
Why IAM Access Analyzer Tells You About Unused Permissions But Won't Remove Them
IAM 访问分析器对于任何尝试实施最小权限的团队来说都是一个有用的起点。它会显示您的 AWS 环境中未使用的权限、未使用的角色、未使用的访问密钥和未使用的密码。对于一项无需花费任何费用即可启用的功能,这是一种无需动脑筋就能回答帐户中何处存在休眠访问权限的方法。 [...]
AWS Service Control Policies (SCPs): A Complete Guide for 2026
云就是以前所未有的速度进行创新。这通常会导致快速的开发冲刺以及身份和基础设施的激增,从而导致过度的特权。在大型企业中,IAM 治理可能很困难。为了适应这一点,Amazon Web Services (AWS) 创建了服务控制策略。以下指南 [...]
Why 92% of Cloud Permissions Are Never Used, and What That Costs You
假设典型的企业有一个 5 到 10 人的安全团队,负责单个 AWS 组织中的 11,000 多个身份。这些身份中的大多数都不是人类。相反,它们是由管道、供应商、测试环境和集成创建的机器身份,在第一个冲刺后没有人进行审查。 Sonrai 对企业云资产的分析发现 [...]
云移动得很快。帐户成倍增加,每个新服务的角色都会增加,在此过程中,权限库存激增至数千个。大多数企业 AWS 环境都面临着他们无法完全看到的权限蔓延问题,并且旨在包含该问题的工具并非都是为同一工作而构建的。 [...]
3 Prerequisites to Adopting Claude Platform on AWS
AWS 最近在 AWS 上推出了 Claude Platform,它将 Anthropic 的原生 Claude Platform 与 Amazon 的身份和计费结构融合在一起。在其技术堆栈中使用 AWS 和 Anthropic 的组织现在可以采用灵活、集中的方式来管理跨云和人工智能的身份和访问。然而,这种集成确实引入了一些值得解决的安全考虑因素。 [...]
AWS Bedrock Agent Permissions: What You Need to Lock Down Before Go-Live
生产环境中的大多数 Bedrock 代理都在构建时使用的相同 IAM 角色上运行。该角色现在是一个常设身份,可以访问测试期间附加的任何服务,在每次执行时自动调用这些权限,而无需人工介入。潜在的风险应该是显而易见的。这是一个值得关注的团队 [...]
How AI Agents Accumulate Permissions Over Time and the Associated Security Risks
部署在 AWS、GCP 或 Azure 中的每个 AI 代理在上线时就成为云身份。它获得 IAM 角色。该角色具有权限,有时是非常特权的权限。除非有一个自动化且可扩展的执行流程,否则这些权限几乎肯定比代理所需要的更广泛。 [...]
Why AI Agents Need Least Privilege Too, and How to Enforce It Automatically
AI 代理是云身份。他们没有徽章或登录信息。他们获得服务帐户、IAM 角色或 API 密钥,就像在您的环境中运行的任何其他非人类身份一样。从机制上来说,没有什么新鲜事。新鲜的是它们的部署数量、速度和数量 [...]
Global S3: Another C2 Channel for AgentCore Code Interpreters
简介 基于最近识别沙盒模式 AgentCore 代码解释器中基于 DNS 的渗透风险的研究,我将全局 S3 访问确定为沙盒代码解释器的另一个命令和控制通道。与基于 DNS 的渗透(此后已得到完全缓解)不同,S3 访问是 AgentCore 代码解释器的一项有用且记录完整的功能,但它仍然会创建一个 [...]
Cloud PAM for AI Agents: Why Traditional PAM Can't Protect Agentic Workloads
AI 代理是云身份。他们在部署时接收 IAM 角色、持有凭证并访问云资源来执行任务。但与人类用户不同的是,他们这样做不需要基于会话的检查点,不需要手动批准步骤,有时甚至需要最少的人工参与。传统的 PAM 是基于一个人发起访问的假设而构建的。人工智能代理挑战 [...]
The Conversation No one is Having About Claude Mythos
Mythos 发现了该漏洞。您的权限姿势决定了损害。当规模足够大时,神话式的违规行为是不可避免的。修补很重要,但没有任何管道能够跟上数千个同时出现的零日漏洞。相关的问题不是攻击者如何进入——而是他们一旦进入内部就能到达什么地方。这个答案完全取决于您的 IAM 态度。 [...]
Fighting Eventual Consistency-Based Persistence - An Analysis of notyet
最终一致性 AWS 身份和访问管理 (IAM) 服务中的最终一致性是一个有据可查的现象。简而言之,当在 AWS 中进行 IAM 更改时,这些更改实际上需要几秒钟的时间才能通过 AWS 的内部系统传播。在此传播窗口内,具有正确启动权限的攻击者控制的身份理论上可以检测并逆转 [...]
Top Cloud Privileged Access Management Best Practices to Prevent Privilege Abuse
特权访问滥用是大多数重大云泄露事件的幕后黑手。而且攻击者并不总是经验丰富的攻击者——有时是一个配置错误的服务帐户,两年内没有人审查过,或者是从从未清理过的收购中继承的 IAM 角色。通道就在那里不受控制地等待着。这正是问题云 [...]
How Treating AI Agents as Identities Can Reduce Enterprise AI Risk
AI 代理不再是实验性的。他们运行生产工作负载、调用 API、查询数据库、配置基础设施以及跨云环境做出决策。讽刺的是,这些代理最终往往比构建它们的开发人员拥有更多的访问权限。当出现问题时,他们以真实的凭证、真实的权限和真实的后果进行操作。大多数企业安全 [...]
March Recap: New AWS Privileged Permissions and Services
随着 2026 年 3 月即将结束,最新的 AWS 权限反映了三个不同领域的扩展:客户参与、AI 驱动的 DevOps 自动化和核心数据库基础设施。交易量不大,但风险状况却不容乐观。三月的中心主题是“无声的退化”。这些权限中的每一个都有一个共同的特征:它们所造成的损害[...]
5 AWS AI Controls Every Security Team Should Have
大多数团队在应用层管理 AI 工作负载。他们为其 Bedrock 代理配置护栏,确定每个工作负载的 IAM 角色范围,并围绕批准的模型构建策略。该规则很重要,但当开发人员启动新帐户或直接调用模型而不接触应用程序堆栈时,它就会崩溃。组织级执法 [...]
Feb Recap: New AWS Privileged Permissions and Services
随着 2026 年 2 月即将结束,AWS 权限扩展的重点已从核心基础设施转移到生成式 AI 供应链。本月对新发布的权限的审查凸显了向模型定制和深层遥测的战略支点。虽然新特权操作的数量低于 1 月份,但影响 [...]
