Sikkerhetsselskapet XM Cyber har avslørt to sårbarheter i Google Vertex AI-plattformen som lar brukere med minst privilegier få tilgang til høyere tjenesteagentroller. Essas-feil utnytter standardinnstillingene til Google Cloud kunstig intelligens-verktøyet. Google rapporterte at den observerte atferden fungerer i samsvar med plattformens opprinnelige design.
Eksperter på nettsikkerhet fremhever at problemet avslører en overdreven avhengighet av administrerte AI-tjenester. Tjenesteagentidentiteter får brede tillatelser for å sikre funksjonalitet. Usuários med grunnleggende tilgang kan manipulere systemet for å få forhøyede tilgangstokener.
Oppdagelsen forsterker behovet for å gjennomgå styringspraksis i cloud computing-miljøer. Empresas bruker Vertex AI står overfor økte risikoer fra innsidetrusler uten ytterligere kontroller.
Detaljer om identifiserte sårbarheter
Sikkerhetene ligger i tildelingen av privilegier til roller knyttet til Vertex AI. Service-agenter er spesielle kontoer administrert av Google Cloud som har tilgang til brukerressurser for å utføre interne prosesser.
Disse usynlige identitetene er gitt brede tillatelser på prosjektnivå for å aktivere automatiske operasjoner. En angriper med minimumstillatelser som tilsvarer rollen til Viewer kan gjenopprette tokens fra serviceagenter under visse forhold. Essa handling tillater bruk av forhøyede rettigheter i prosjektet.
XM Cyber forklarte at feil gjør administrerte identiteter til eskaleringsvektorer. Google fastholdt at tjenestene fungerer etter hensikten etter ansvarlig avsløring.
Offisiell stilling til Google Cloud
Google ga ikke ytterligere kommentarer utover det første svaret på XM Cyber. Selskapet klassifiserte oppførselen som tilsiktet i utformingen av Vertex AI-plattformen.
Standardinnstillinger prioriterer bekvemmelighet for å aktivere AI-funksjoner med en gang. Service-agenter opererer i bakgrunnen med bred tilgang for å støtte integrasjoner mellom tjenester.
Analytikere bemerker at denne tilnærmingen underordner virksomhetsstyringsmodeller til leverandørarkitekturen. Clientes mister full synlighet over plattformens interne komponenter.
Forstørret risiko for innsidetrusler
Ondsinnede innsidere kan utnytte disse svakhetene for å få tilgang utover det som normalt er tillatt. Manipulering av serviceagenter genererer ikke typiske varsler om mistenkelig aktivitet.
Bedriftssikkerhetsverktøy overvåker sjelden administrert identitetsatferd. Abuso av disse kontoene fremstår som legitime plattformoperasjoner.
AI-miljøer involverer arbeidsbelastninger som får tilgang til flere tjenester og sensitive datasett. Mangel på tilstrekkelig isolasjon øker slagradiusen ved kompromisser.
- Overvåking av uventede søk i BigQuery;
- Uautorisert tilgang til datalagring;
- Unormal oppførsel i API-økter;
- Endringer i orkestreringsinnstillinger.
Kontekst av tidligere utgaver i Vertex AI
Dette er ikke den første identifiseringen av lignende feil på plattformen. I november 2024 avslørte Palo Alto Networks sårbarheter som tillot skalering via tilpassede jobber og modelleksfiltrering.
Google brukte rettelser for disse problemene etter utgivelsen. Problemene involverte tilpassede rørledninger og feil tilgang til finjusterte maskinlæringsmodeller.
Gjentakelsen av temaer knyttet til privilegier antyder strukturelle mønstre i designet. Administrert AI Plataformas gir økte tillatelser til interne agenter som standard.
Referanser til OWASP Agentic Top 10
OWASP ga ut Top 10 for agentapplikasjoner i desember 2025. Kategori ASI03 adresserer misbruk av identitet og privilegier i autonome AI-systemer.
Denne klassifiseringen koder for risikoer som de som er observert i Vertex AI. Agentes får tilgang til verktøy og ressurser uten tilstrekkelige granulære begrensninger.
Andre relevante kategorier inkluderer verktøymisbruk og agentsårbarheter i forsyningskjeden. Rammeverket fungerer som en referanse for risikovurdering på lignende plattformer.
Anbefalinger fra sikkerhetseksperter
Fagfolk anbefaler umiddelbart å implementere kompenserende kontroller. CISOer må revidere alle tjenesteidentiteter knyttet til AI-arbeidsbelastninger.
Spesifikk overvåking for serviceagenter behandler disse kontoene som privilegerte ansatte. Alertas fokuserer på mønstre som indikerer feil manipulasjon.
- Reduksjon av omfanget av autentisering mellom komponenter;
- Innføring av robuste sikkerhetsbarrierer;
- Segmentering av sensitive ressurser;
- Periodisk gjennomgang av standardtillatelser.
Selv om disse tiltakene øker driftskostnadene, begrenser de sprengningsradiusen. Organizações trenger å balansere bekvemmelighet med effektiv kontroll over usynlige identiteter.
Selskaper som tar i bruk AI i skala vurderer skystillinger for å inkludere intern observerbarhet. Blind tillit til administrerte leverandører avslører kritiske hull i moderne miljøer.
Den raske utviklingen av AI-verktøy krever konstant tilpasning i forsvarsstrategier. Provedores og kunder deler ansvaret for sikkerheten til interne komponenter.
