Уязвимость Vertex AI
В платформе Google Cloud Vertex AI обнаружена серьезная уязвимость, которая может превратить искусственный интеллект из полезного помощника в инструмент злоумышленника. Исследователи из подразделения Unit 42 компании Palo Alto Networks выявили проблему в модели разграничения доступа, способную привести к утечке конфиденциальных данных и компрометации облачной инфраструктуры организации.
Суть проблемы кроется в механизме работы сервисного агента Vertex AI. По умолчанию система наделяет агента избыточными правами, что создает брешь в безопасности. Как поясняет исследователь Офир Шати, скомпрометированный или некорректно настроенный агент может стать «двойным агентом»: внешне он продолжает выполнять свои функции, но при этом тайно похищает данные, внедряет бэкдоры и открывает злоумышленнику доступ к критически важным системам организации.
Уязвимость связана с сервисным агентом уровня проекта (Per-Project, Per-Product Service Agent — P4SA), который создается при развертывании AI-агента с использованием Vertex AI Agent Development Kit (ADK). Выяснилось, что этот агент по умолчанию получает чрезмерно широкие разрешения. Этого достаточно, чтобы извлечь учетные данные сервисного агента и выполнять действия от его имени.
Механизм атаки выглядит следующим образом. После развертывания Vertex Agent через Agent Engine любой вызов к агенту активирует обращение к метаданным Google. В ответ система раскрывает учетные данные сервисного агента, а также информацию о проекте GCP, в котором размещен AI-агент, его идентификаторе и областях доступа (scopes) хост-машины.
Используя похищенные учетные данные, злоумышленник может переместиться из контекста выполнения AI-агента непосредственно в клиентский проект. Это полностью разрушает изоляцию между компонентами и открывает неограниченный доступ для чтения всех данных, хранящихся в Google Cloud Storage в рамках скомпрометированного проекта. По сути, AI-агент превращается из полезного инструмента во внутреннюю угрозу, обладающую широкими полномочиями.
Но опасность не ограничивается клиентскими данными. Поскольку развернутый Vertex AI Agent Engine функционирует внутри арендованного проекта, управляемого Google, извлеченные учетные данные также открывают доступ к хранилищам Google Cloud Storage в этом арендованном окружении. Хотя для прямого доступа к некоторым хранилищам прав оказалось недостаточно, сам факт получения информации о внутренней инфраструктуре платформы представляет серьезный риск.
Особую тревогу вызывает доступ к репозиториям Artifact Registry, принадлежащим Google. Эти репозитории содержат образы контейнеров, составляющие ядро Vertex AI Reasoning Engine. При развертывании Agent Engine информация о них становится видимой, и скомпрометированные учетные данные P4SA позволяют не только загружать образы, упомянутые в логах развертывания, но и просматривать содержимое других закрытых репозиториев, включая дополнительные ограниченные образы.
Получение доступа к такому проприетарному коду несет двойную угрозу. С одной стороны, это прямая утечка интеллектуальной собственности Google. С другой стороны, злоумышленник получает детальную карту внутренней программной инфраструктуры, что позволяет искать новые уязвимости, выявлять устаревшие или незащищенные образы и выстраивать цепочку дальнейших атак. Некорректная настройка Artifact Registry, по мнению исследователей, указывает на более глубокие проблемы управления доступом в критической инфраструктуре.
Компания Google уже отреагировала на обнаруженную проблему. В официальной документации были обновлены разделы, описывающие использование ресурсов, учетных записей и агентов в Vertex AI. В качестве ключевой рекомендации клиентам предлагается применять собственную сервисную учетную запись (Bring Your Own Service Account — BYOSA) вместо стандартного сервисного агента. Это позволяет реализовать принцип наименьших привилегий (principle of least privilege — PoLP), при котором агент получает ровно те права, которые необходимы для выполнения конкретной задачи, и не более того.
Выводы исследователей звучат как важное напоминание всем организациям, внедряющим AI-решения. Предоставление агентам широких разрешений по умолчанию нарушает базовые принципы безопасности. Развертывание AI-агентов требует такого же строгого подхода, как и выпуск нового продакшн-кода: необходимо проверять границы разрешений, ограничивать OAuth-скопы минимально необходимыми правами, контролировать целостность исходного кода и проводить тщательное тестирование безопасности до вывода в эксплуатацию.
