Perusahaan keamanan XM Cyber wis mbukak rong kerentanan ing platform AI Google Vertex sing ngidini pangguna sing paling ora duwe hak istimewa kanggo ngakses peran agen layanan sing luwih dhuwur. Cacat Essas ngeksploitasi setelan gawan saka alat intelijen buatan Google Cloud. Google nglapurake yen prilaku sing diamati makarya miturut desain asli platform kasebut.
Pakar cybersecurity negesake manawa masalah kasebut nuduhake ketergantungan sing akeh banget ing layanan AI sing dikelola. Identitas agen layanan nampa ijin sing wiyar kanggo mesthekake fungsi fungsi. Usuários karo akses dhasar bisa ngapusi sistem kanggo njupuk token akses munggah pangkat.
Panemuan kasebut nguatake kabutuhan kanggo mriksa praktik pamrentah ing lingkungan komputasi awan. Empresas nggunakake Vertex AI ngadhepi tambah risiko saka ancaman njero tanpa kontrol tambahan.
Rincian kerentanan sing diidentifikasi
Kerentanan kasebut ana ing alokasi hak istimewa kanggo peran sing ana gandhengane karo Vertex AI. Agen Service minangka akun khusus sing dikelola dening Google Cloud sing ngakses sumber daya pangguna kanggo nglakokake proses internal.
Identitas sing ora katon iki diwenehi ijin tingkat proyek sing amba kanggo ngaktifake operasi otomatis. Penyerang kanthi ijin minimal sing padha karo peran Viewer bisa mbalekake token saka agen layanan ing kahanan tartamtu. Tindakan Essa ngidini panggunaan hak istimewa ing proyek kasebut.
XM Cyber nerangake manawa kegagalan ngowahi identitas sing dikelola dadi vektor eskalasi. Google njaga layanan kasebut kaya sing dikarepake sawise pambocoran tanggung jawab.
Posisi resmi Google Cloud
Google ora menehi komentar tambahan ngluwihi respon awal kanggo XM Cyber. Perusahaan nggolongake prilaku kasebut kanthi sengaja ing desain platform AI Vertex.
Setelan gawan ngutamakake penak supaya bisa langsung ngaktifake fitur AI. Agen Service beroperasi ing latar mburi kanthi akses sing wiyar kanggo ndhukung integrasi antarane layanan.
Analis nyathet yen pendekatan iki subordinate model tata kelola perusahaan menyang arsitektur panyedhiya. Clientes ilang visibilitas lengkap liwat komponen internal platform.
Digedhekake risiko kanggo ancaman njero
Wong njero ala bisa ngeksploitasi kelemahan kasebut kanggo entuk akses ngluwihi sing biasane diidini. Manipulasi agen layanan ora ngasilake tandha aktivitas curiga sing khas.
Piranti keamanan perusahaan arang ngawasi prilaku identitas sing dikelola. Abuso saka akun kasebut katon minangka operasi platform sing sah.
Lingkungan AI kalebu beban kerja sing ngakses macem-macem layanan lan set data sensitif. Kekurangan insulasi sing nyukupi nambah radius impact yen ana kompromi.
- Ngawasi pitakon sing ora dikarepke ing BigQuery;
- Akses ora sah menyang panyimpenan data;
- Prilaku ora normal ing sesi API;
- Owah-owahan menyang setelan orkestrasi.
Konteks masalah sadurunge ing Vertex AI
Iki dudu identifikasi pisanan saka cacat sing padha ing platform kasebut. Ing November 2024, Palo Alto Networks mbukak kerentanan sing ngidini skala liwat proyek khusus lan exfiltration model.
Google ndandani masalah kasebut sawise diluncurake. Masalah kasebut kalebu saluran pipa khusus lan akses sing ora cocog kanggo model pembelajaran mesin sing wis disetel.
Ambalan tema sing ana gandhengane karo hak istimewa nuduhake pola struktural ing desain. Ngatur AI Plataformas menehi ijin munggah pangkat kanggo agen internal minangka standar.
Referensi kanggo OWASP Agentic Top 10
OWASP dirilis Top 10 kanggo aplikasi agen ing Desember 2025. Kategori ASI03 alamat penyalahgunaan identitas lan hak istimewa ing sistem AI otonom.
Klasifikasi iki nyandi risiko kayata sing diamati ing Vertex AI. Agentes diwenehi akses menyang alat lan sumber daya tanpa watesan granular sing cukup.
Kategori liyane sing relevan kalebu penyalahgunaan alat lan kerentanan rantai pasokan agen. Kerangka kasebut minangka referensi kanggo penilaian risiko ing platform sing padha.
Rekomendasi saka pakar keamanan
Profesional menehi saran supaya langsung ngetrapake kontrol kompensasi. CISO kudu mriksa kabeh identitas layanan sing ana gandhengane karo beban kerja AI.
Pemantauan khusus kanggo agen layanan nganggep akun kasebut minangka karyawan sing duwe hak istimewa. Alertas fokus ing pola sing nuduhake manipulasi sing ora bener.
- Ngurangi ruang lingkup otentikasi antarane komponen;
- Pambuka alangan keamanan sing kuat;
- Segmentasi sumber daya sensitif;
- Review periodik saka ijin standar.
Senajan langkah-langkah iki nambah biaya operasi, padha matesi radius jeblugan. Organizações kudu ngimbangi penak karo kontrol efektif liwat identitas siro.
Perusahaan sing nggunakake AI ing postur awan review skala kanggo nyakup observasi internal. Kapercayan wuta ing panyedhiya sing dikelola nyedhiyakake kesenjangan kritis ing lingkungan modern.
Évolusi kanthi cepet saka alat AI mbutuhake adaptasi terus-terusan ing strategi pertahanan. Provedores lan pelanggan nuduhake tanggung jawab kanggo keamanan komponen internal.
