A empresa de segurança XM Cyber divulgou duas vulnerabilidades no plataforma Google Vertex AI que permitem a usuários com privilégios mínimos acessar roles de service agents mais elevados. Essas falhas exploram configurações padrão da ferramenta de inteligência artificial do Google Cloud. O Google informou que o comportamento observado opera conforme o projeto original da plataforma.
Especialistas em segurança cibernética destacam que o problema revela uma confiança excessiva em serviços gerenciados de IA. As identidades de service agents recebem permissões amplas para garantir o funcionamento das funcionalidades. Usuários com acesso básico podem manipular o sistema para obter tokens de acesso elevados.
A descoberta reforça a necessidade de revisão nas práticas de governança em ambientes de cloud computing. Empresas que utilizam Vertex AI enfrentam riscos ampliados de ameaças internas sem controles adicionais.
Detalhes das vulnerabilidades identificadas
As vulnerabilidades residem na alocação de privilégios para roles associadas ao Vertex AI. Service agents são contas especiais gerenciadas pelo Google Cloud que acessam recursos dos usuários para executar processos internos.
Essas identidades invisíveis recebem permissões amplas em nível de projeto para viabilizar operações automáticas. Um atacante com permissões mínimas equivalentes ao role de Viewer pode recuperar tokens de service agents em certas condições. Essa ação permite o uso de privilégios elevados dentro do projeto.
A XM Cyber explicou que as falhas transformam identidades gerenciadas em vetores de escalonamento. O Google manteve que os serviços funcionam como planejados após a divulgação responsável.
Posição oficial do Google Cloud
O Google não emitiu comentário adicional além da resposta inicial à XM Cyber. A empresa classificou o comportamento como intencional no design da plataforma Vertex AI.
Configurações padrão priorizam conveniência para ativar recursos de IA imediatamente. Service agents operam em segundo plano com acesso amplo para suportar integrações entre serviços.
Analistas observam que essa abordagem subordina modelos de governança empresarial à arquitetura do provedor. Clientes perdem visibilidade total sobre componentes internos da plataforma.
Riscos ampliados para ameaças internas
Insiders maliciosos podem explorar essas fraquezas para obter acesso além do permitido normalmente. A manipulação de service agents não gera alertas típicos de atividades suspeitas.
Ferramentas de segurança empresarial raramente monitoram comportamentos de identidades gerenciadas. Abuso dessas contas aparece como operações legítimas da plataforma.
Ambientes de IA envolvem workloads que acessam múltiplos serviços e datasets sensíveis. A falta de isolamento adequado aumenta o raio de impacto em caso de comprometimento.
- Monitoramento de consultas inesperadas em BigQuery;
- Acesso não autorizado a storage de dados;
- Comportamentos anormais em sessões de API;
- Alterações em configurações de orchestration.
Contexto de problemas anteriores no Vertex AI
Essa não é a primeira identificação de falhas semelhantes na plataforma. Em novembro de 2024, a Palo Alto Networks divulgou vulnerabilidades que permitiam escalonamento via custom jobs e exfiltração de modelos.
O Google aplicou correções para aqueles problemas após a divulgação. As issues envolviam pipelines personalizados e acesso indevido a modelos de machine learning ajustados.
A recorrência de temas relacionados a privilégios sugere padrões estruturais no design. Plataformas de IA gerenciada concedem permissões elevadas para agentes internos por padrão.
Referências ao OWASP Agentic Top 10
O OWASP lançou o Top 10 para aplicações agentic em dezembro de 2025. A categoria ASI03 aborda abuso de identidade e privilégios em sistemas autônomos de IA.
Essa classificação codifica riscos como os observados no Vertex AI. Agentes recebem acesso a ferramentas e recursos sem restrições granulares suficientes.
Outras categorias relevantes incluem misuse de ferramentas e vulnerabilidades na cadeia de suprimentos agentic. O framework serve como referência para avaliação de riscos em plataformas semelhantes.
Recomendações de especialistas em segurança
Profissionais recomendam a implementação imediata de controles compensatórios. CISOs devem auditar todas as identidades de serviço associadas a workloads de IA.
Monitoramento específico para service agents trata essas contas como funcionários privilegiados. Alertas focam em padrões que indicam manipulação indevida.
- Redução do escopo de autenticação entre componentes;
- Introdução de barreiras de segurança robustas;
- Segmentação de recursos sensíveis;
- Revisão periódica de permissões padrão.
Embora essas medidas aumentem custos operacionais, elas limitam o raio de explosão. Organizações precisam equilibrar conveniência com controle efetivo sobre identidades invisíveis.
Empresas que adotam IA em escala revisam posturas de cloud para incluir observabilidade interna. A confiança cega em provedores gerenciados expõe gaps críticos em ambientes modernos.
A evolução rápida de ferramentas de IA demanda adaptação constante em estratégias de defesa. Provedores e clientes compartilham responsabilidade pela segurança de componentes internos.
