- Pesquisadores identificaram uma vulnerabilidade na Vertex AI Agent Engine do Google Cloud relacionada às permissões padrão dos agentes de IA implantados.
- Em testes, foi possível extrair credenciais da conta de serviço padrão, a P4SA, e sair do isolamento da aplicação para acessar recursos mais amplos do projeto.
- Com esse acesso, um atacante poderia ler dados em buckets do Cloud Storage, alcançar repositórios do Artifact Registry e baixar imagens de contêiner ligadas ao Vertex AI Reasoning Engine.
- O cenário também permitiria mapear componentes internos do ambiente e apontar novos caminhos para aprofundar a intrusão, com exposição de arquivos sensíveis no projeto gerenciado pelo Google.
- O Google anunciou medidas de mitigação, implementando controles para impedir alterações em imagens-base de produção e reduzir riscos de ataques na cadeia de suprimentos entre locatários.
Pesquisadores identificaram uma vulnerabilidade na Vertex AI Agent Engine, do Google Cloud, que pode permitir acesso a dados sensíveis e ampliar ataques dentro do ambiente em nuvem. O problema está ligado às permissões padrão atribuídas aos agentes de IA implantados, abrindo espaço para abusos.
A falha envolve a conta de serviço usada por padrão pelo ambiente, conhecida como P4SA. Em testes, foi possível extrair credenciais associadas a esse agente e, a partir delas, sair do contexto isolado da aplicação para interagir com recursos mais amplos do projeto do cliente.
Com esse acesso, um invasor poderia ler dados de buckets do Google Cloud Storage, alcançar repositórios restritos no Artifact Registry e baixar imagens de contêiner vinculadas ao Vertex AI Reasoning Engine. O cenário também permitiria mapear componentes internos e identificar caminhos para aprofundar a intrusão, incluindo a exposição de arquivos sensíveis no projeto gerenciado pelo Google para a instância do agente.
Medidas adotadas pelo Google
Após a divulgação responsável, o Google informou ter implementado controles adicionais. Essas medidas impedem alterações em imagens-base de produção, reduzindo riscos como ataques à cadeia de suprimentos entre locatários da plataforma. A empresa não informou detalhes adicionais sobre a regeneração de credenciais ou alterações de configuração.
Entre na conversa da comunidade