Злоумышленники могут использовать бессерверные вычисления, интеграции и службы автоматизации для выполнения произвольного кода в облачных средах. Многие поставщики облачных сервисов предлагают разнообразные бессерверные ресурсы, включая вычислительные мощности, службы интеграции приложений и веб-серверы.

Злоумышленники могут использовать эти ресурсы различными способами для выполнения произвольных команд. Например, бессерверные функции могут использоваться для запуска вредоносного кода, например для майнинга криптовалют (см., например, технику Несанкционированное использование ресурсов). Злоумышленники также могут создавать функции для дальнейшей компрометации облачной среды. Например, они могут использовать разрешение IAM:PassRole в AWS или разрешение iam.serviceAccounts.actAs в Google Cloud для добавления дополнительных облачных ролей в бессерверную облачную функцию, чтобы выполнять через нее действия, изначально недоступные пользователю.

Бессерверные функции также могут вызываться в ответ на облачные события (см. технику Выполнение по событию), что может обеспечить их постоянное выполнение и закрепление в системе. Например, в средах AWS злоумышленник может создать функцию Lambda, которая автоматически добавляет пользователю дополнительные облачные учетные данные и создает связанное правило EventBridge (ранее CloudWatch Events) для автоматического вызова этой функции при создании нового пользователя. Аналогичным образом злоумышленник может создать рабочий процесс Power Automate в средах Microsoft 365, который пересылает все входящие электронные письма пользователя или создает анонимные ссылки для общего доступа каждый раз, когда пользователь получает доступ к документу в SharePoint.