多智体协作成新靶场：深度解析Amazon Bedrock多智能体应用提示注入攻击链

🔍 High 其他

安全研究人员以红队视角分析了Amazon Bedrock Agents的多智能体协作功能，发现攻击者可通过精心构造的提示注入载荷，在Supervisor模式下逐步探测应用运行模式、发现协作智能体、传递恶意载荷并最终执行未授权操作。研究表明，即便Amazon Bedrock服务本身无漏洞，所有依赖大语言模型处理不可信文本的智能体系统均面临提示注入风险。

来源：Palo Alto Unit42 | 2026-04-03 | 原文链接

🔍 关键发现

• 多智能体架构通过智能体间通信和编排机制扩大了攻击面，攻击者可在Supervisor模式下利用提示注入实现逐级渗透。
• 攻击者可通过观察系统响应判断应用运行在Supervisor模式还是Supervisor with Routing模式，从而选择不同的载荷投递策略。
• 启用Amazon Bedrock内置的Prompt Attack Guardrail可有效阻断所有已演示的提示注入攻击，但默认未启用时系统存在严重风险。

⚔️ 攻击链分析

1. 探测运行模式：构造特定检测载荷，通过分析系统响应判断应用是Supervisor模式还是Supervisor with Routing模式。2. 发现协作智能体：利用模式信息，向Supervisor注入指令，诱使其列出所有协作智能体及其角色。3. 投递恶意载荷：将攻击者控制的有效载荷嵌入用户输入，通过Supervisor转发给目标协作智能体。4. 执行恶意操作：在目标智能体上触发载荷，实现指令泄露、工具架构暴露或使用攻击者提供的输入调用工具。

🛡️ 缓解建议

• ✅ 启用Amazon Bedrock的Prompt Attack Guardrail功能，在预处理阶段拦截恶意提示注入。
• ✅ 对所有智能体使用的默认提示模板进行安全定制，增加输入验证和指令隔离机制。
• ✅ 限制智能体可调用的工具和API权限，遵循最小权限原则，并监控异常工具调用行为。

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。