ApplePlanet.PL
  • REDAKCJA
  • WSPÓŁPRACA
  • POLITYKA PRYWATNOŚCI
No Result
View All Result
  • Apple
  • Nauka i technika
  • Sztuczna inteligencja AI
  • Security
  • Gry
  • Smartfony
  • Komputery & Tablety
  • Lora
czwartek, 16 lipca, 2026
  • Apple
  • Nauka i technika
  • Sztuczna inteligencja AI
  • Security
  • Gry
  • Smartfony
  • Komputery & Tablety
  • Lora
No Result
View All Result
ApplePlanet.PL
No Result
View All Result
Home Security

Google naprawia luki w zabezpieczeniach Vertex AI po ataku badaczy

od Pan z ApplePlanet
16 lipca, 2026
w Security
0
Google naprawia luki w zabezpieczeniach Vertex AI po ataku badaczy
465
SHARES
1.5k
VIEWS
Udostępnij na FacebookuUdostępnij na Tweeterze

Badacze z Palo Alto Networks ujawnili szczegóły dotyczące podatności w platformie Google Cloud Vertex AI, które pozwalają na przejęcie kontroli nad agentami sztucznej inteligencji. Analiza skupiła się na narzędziach Vertex Agent Engine oraz Agent Development Kit (ADK), służących do tworzenia i skalowania zaawansowanych rozwiązań AI. Eksperci wykazali, że poprzez odpowiednią manipulację, autonomiczne agenty mogą zostać przekształcone w tzw. podwójnych agentów, co otwiera drogę do kradzieży danych, tworzenia tylnych furtek (backdoorów) oraz naruszenia integralności infrastruktury chmurowej.

Problem nadmiarowych uprawnień

Kluczowym punktem podatności jest mechanizm Per-Project, Per-Product Service Agent (P4SA), powiązany z każdym wdrożonym agentem AI. Jest to konto serwisowe, które umożliwia usługom Google Cloud Platform (GCP) dostęp do zasobów wewnątrz chmury. Według ustaleń Palo Alto Networks, domyślna konfiguracja P4SA przyznaje zbyt szerokie uprawnienia, co stwarza poważne ryzyko bezpieczeństwa.

Ten poziom dostępu stanowi istotne zagrożenie bezpieczeństwa, przekształcając agenta AI z pomocnego narzędzia w zagrożenie wewnętrzne.

Badacze zademonstrowali, że atakujący mogą wykorzystać te nadmiarowe uprawnienia do przejęcia poświadczeń konta serwisowego. Pozwala to na wyjście poza kontekst wykonywania samego agenta AI i uzyskanie dostępu do całego projektu użytkownika oraz powiązanych z nim zasobów danych.

Ryzyko dla własności intelektualnej i infrastruktury

Wykorzystanie skompromitowanych poświadczeń P4SA daje atakującemu nieograniczony dostęp do projektu Google, w którym hostowana jest usługa Vertex AI. Pozwala to między innymi na pobieranie obrazów kontenerów z prywatnych repozytoriów. Obrazy te stanowią fundament silnika wnioskowania Vertex AI (Vertex AI Reasoning Engine), a dostęp do nich nie tylko naraża własność intelektualną Google, ale również dostarcza przestępcom mapy drogowej do odkrywania kolejnych luk w zabezpieczeniach.

Dodatkowo, przejęte poświadczenia mogą zostać użyte do uzyskania dostępu do:

  • Ograniczonych repozytoriów w Artifact Registry, zawierających obrazy przydatne w dalszych etapach ataku.
  • Zasobów w Google Cloud Storage, które mogą zawierać wrażliwe informacje.
  • Plików konfiguracyjnych, których manipulacja pozwala na zdalne wykonanie kodu w środowisku agenta, co umożliwia stworzenie trwałej i trudnej do wykrycia tylnej furtki.
  • Reakcja Google i zalecenia dla użytkowników

    Palo Alto Networks przekazało swoje ustalenia firmie Google, która podjęła działania w celu zaadresowania problemu. Gigant technologiczny zaktualizował dokumentację, aby wyraźniej wskazać na potencjalne ryzyka związane z konfiguracją uprawnień.

    Google zaleca obecnie korzystanie z modelu Bring Your Own Service Account (BYOSA). Rozwiązanie to pozwala użytkownikom Agent Engine na wdrożenie zasady najmniejszych przywilejów, dzięki której agent otrzymuje dostęp wyłącznie do tych zasobów, które są niezbędne do jego poprawnego działania. Przedstawiciele firmy podkreślili również, że w systemie istnieją silne, nadrzędne mechanizmy kontrolne, które uniemożliwiają agentom serwisowym modyfikację obrazów produkcyjnych.

    Share186Tweet116
    Poprzedni artykuł

    Trend Micro Tanium ESET oraz Tenable usuwają groźne luki w oprogramowaniu

    Następny artykuł

    Sztuczna inteligencja jako członek rodziny

    Następny artykuł
    Sztuczna inteligencja jako członek rodziny

    Sztuczna inteligencja jako członek rodziny

    Polub nas i bądź na bieżąco

    Ostatnie Wpisy

    • Producenci routerów mogą wprowadzać w błąd oznaczeniami Wi-Fi 7 16 lipca, 2026
    • Kiedy warto dopłacić do kabli USB4 16 lipca, 2026
    • Ruszyła promocja Apple Back to School w USA z kartami podarunkowymi do Maca i iPada 16 lipca, 2026
    • Jak zainstalować publiczną betę macOS 27 Golden Gate 16 lipca, 2026
    • Lizzy Caplan dołącza do obsady serialu Far Cry od FX 16 lipca, 2026

    Informacje

    • Polityka prywatności
    • Redakcja
    • Współpraca
    • REDAKCJA
    • WSPÓŁPRACA
    • POLITYKA PRYWATNOŚCI

    Welcome Back!

    Login to your account below

    Forgotten Password?

    Retrieve your password

    Please enter your username or email address to reset your password.

    Log In

    Add New Playlist

    No Result
    View All Result
    • Apple
    • Sztuczna inteligencja AI
    • Komputery I tablety
    • Gry
    • Smartfony
    • Security
    • Nauka i technika
    • Lora
    • Współpraca
    • Redakcja