токены с избыточными правами ai

  1. Сергей Попов

    Статья Безопасность NHI в AI-агентах: attack paths, SIEM-detection и чеклист least privilege

    На аудите облачной инфраструктуры финтех-компании в марте этого года нашёл сервисный аккаунт LLM-агента с правами s3:* и iam:PassRole. Токен не ротировался 9 месяцев, а агент использовал от силы два API-вызова: s3:GetObject на один бакет и bedrock:InvokeModel. Остальные 47 разрешений висели...