Badacze z Palo Alto Networks ujawnili szczegóły dotyczące podatności w platformie Google Cloud Vertex AI, które pozwalają na przejęcie kontroli nad agentami sztucznej inteligencji. Analiza skupiła się na narzędziach Vertex Agent Engine oraz Agent Development Kit (ADK), służących do tworzenia i skalowania zaawansowanych rozwiązań AI. Eksperci wykazali, że poprzez odpowiednią manipulację, autonomiczne agenty mogą zostać przekształcone w tzw. podwójnych agentów, co otwiera drogę do kradzieży danych, tworzenia tylnych furtek (backdoorów) oraz naruszenia integralności infrastruktury chmurowej.
Problem nadmiarowych uprawnień
Kluczowym punktem podatności jest mechanizm Per-Project, Per-Product Service Agent (P4SA), powiązany z każdym wdrożonym agentem AI. Jest to konto serwisowe, które umożliwia usługom Google Cloud Platform (GCP) dostęp do zasobów wewnątrz chmury. Według ustaleń Palo Alto Networks, domyślna konfiguracja P4SA przyznaje zbyt szerokie uprawnienia, co stwarza poważne ryzyko bezpieczeństwa.
Ten poziom dostępu stanowi istotne zagrożenie bezpieczeństwa, przekształcając agenta AI z pomocnego narzędzia w zagrożenie wewnętrzne.
Badacze zademonstrowali, że atakujący mogą wykorzystać te nadmiarowe uprawnienia do przejęcia poświadczeń konta serwisowego. Pozwala to na wyjście poza kontekst wykonywania samego agenta AI i uzyskanie dostępu do całego projektu użytkownika oraz powiązanych z nim zasobów danych.
Ryzyko dla własności intelektualnej i infrastruktury
Wykorzystanie skompromitowanych poświadczeń P4SA daje atakującemu nieograniczony dostęp do projektu Google, w którym hostowana jest usługa Vertex AI. Pozwala to między innymi na pobieranie obrazów kontenerów z prywatnych repozytoriów. Obrazy te stanowią fundament silnika wnioskowania Vertex AI (Vertex AI Reasoning Engine), a dostęp do nich nie tylko naraża własność intelektualną Google, ale również dostarcza przestępcom mapy drogowej do odkrywania kolejnych luk w zabezpieczeniach.
Dodatkowo, przejęte poświadczenia mogą zostać użyte do uzyskania dostępu do:
Reakcja Google i zalecenia dla użytkowników
Palo Alto Networks przekazało swoje ustalenia firmie Google, która podjęła działania w celu zaadresowania problemu. Gigant technologiczny zaktualizował dokumentację, aby wyraźniej wskazać na potencjalne ryzyka związane z konfiguracją uprawnień.
Google zaleca obecnie korzystanie z modelu Bring Your Own Service Account (BYOSA). Rozwiązanie to pozwala użytkownikom Agent Engine na wdrożenie zasady najmniejszych przywilejów, dzięki której agent otrzymuje dostęp wyłącznie do tych zasobów, które są niezbędne do jego poprawnego działania. Przedstawiciele firmy podkreślili również, że w systemie istnieją silne, nadrzędne mechanizmy kontrolne, które uniemożliwiają agentom serwisowym modyfikację obrazów produkcyjnych.

