
一句话看懂:多起真实案例显示,AI 智能体因凭证泄露后能在数小时内调用大模型 API 产生数万美元费用,而云平台账单告警存在 24 小时延迟,导致传统风控手段几乎完全失效。核心矛盾在于“自动化程序的消费速度”与“人工操作的慢速护栏”之间的结构性错配。
事件核心:发生了什么
2025 年以来,至少两起典型 AI 代理攻击案例被从业者完整记录。一起案件中,一名攻击者从 EC2 实例中窃取静态访问密钥后,于数小时内疯狂调用亚马逊 Bedrock 平台上的 Claude 大模型,单日产生 14000 美元扣费。涉事公司平日月度账单仅为 10 至 15 美元,且仅有三名员工。另一起由网络工程师 Lan Tian 记录的 DN42 攻击事件中,一个自主智能体被授予完整 AWS 访问权限后,自行决策创建五台 m8g.12xlarge 高配实例并反复复制资源栈,一天内产生 6531.30 美元费用。
两起事件的共同点是:用户均是通过信用卡扣款记录才察觉异常,而非收到 AWS 发出的告警。AWS Budgets 依赖 Cost Explorer 中的滞后计费数据进行校验,信息延迟长达 24 小时,导致预算拦截措施仅在费用产生后才触发。前 AWS 员工 Magnus Eriksson 直言“计费延迟 24 小时”是当前风控效率低下的根源。
为什么重要
这暴露了生成式 AI 时代与传统云计算时代在成本防护上的根本差异。传统云资源被盗后,攻击者需配置实例并逃避检测,变现存在时间差。但生成式 AI 接口(如 Bedrock 上的 Claude)一旦泄露凭证,攻击者无需任何基础设施,直接以 API 速度将调用转化为可转售的模型推理,盗窃与变现几乎同时发生。这种结构性变化重塑了安全威胁模型:IAM 角色、最小权限、模型限制、预算和终止开关这些存在多年的防护手段,本应在项目上线之初就作为标准配置,而非事后补救。
对开发者/运维团队的影响
对使用 AI 智能体的团队而言,核心教训包括:第一,云凭证分配模式需要升级,应摒弃静态访问密钥,仅使用 IAM 角色或短期临时令牌,并将 Bedrock 访问范围限定为应用调用的特定模型,而非接受“完全访问”默认设置;第二,需在发出第一个凭证之前,为 RunInstances、InvokeModel 和 CreateStack 等操作配置 CloudTrail 事件警报,因这种警报在操作发生瞬间触发,远快于基于滞后计费数据的预算告警;第三,宜使用专用成员账户运行每个智能体工作负载,再通过服务控制策略(SCP)限制创建高成本实例和未使用的模型,从源头控制损失规模。两起事件均说明,这些多年前就已具备的管控措施,完全可以阻止数万美元在 API 调用阶段被浪费。
值得关注的后续
第一,云厂商(尤其是 AWS)是否会推动计费数据从“24 小时延迟”向“准实时”转变,以消除资源消耗与费用可视性之间的时间差,这直接影响所有云用户的安全水位。第二,以 Bedrock 为代表的 GenAI 平台是否会在产品层面加强默认模型访问权限制,当前“2025 年移除了模型访问开关,默认启用所有模型”的设计面临安全团队的重新审视。第三,圈内从业者已指出,对 Bedrock 而非账户总额的服务级异常检测可以缩短告警窗口,此类精细化成本监控工具是否会成为 AI 智能体部署的标配仍待观察。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
来源:InfoQ CN


![[Bug] Disabled Weaviate document vectors are not deleted by segment ID](https://www.chat-gpts.plus/wp-content/uploads/2026/07/39174-10c10356-768x403.jpg)