AWS安全

上周三凌晨两点，我盯着屏幕上AWS IAM Access Analyzer的报告，手边的咖啡已经凉透了。它告诉我：一个由Claude Code生成的Lambda函数，被授权了对整个S3服务的完全访问权限，s3:*，而它实际只需要从一个特定桶里读取图片缩略图。更离谱的是，这个函数还被授予了跨账号的KMS解密权限，而我从未在任何prompt里提过KMS这个单词。 这个发现让我后背发凉。因为就在四天前，…