A empresa de segurança cibernética XM Cyber revelou a descoberta de duas vulnerabilidades críticas na plataforma de inteligência artificial Google Vertex AI. As falhas permitem que usuários com permissões mínimas, como as de um simples visualizador, consigam escalar seus privilégios e acessar contas de serviço com autorizações muito mais amplas. Esta brecha explora diretamente as configurações padrão da ferramenta, levantando um alerta sobre a segurança de serviços gerenciados de IA.
O problema central reside nos “service agents”, contas especiais gerenciadas pelo Google Cloud que executam tarefas em nome do usuário. Por padrão, essas contas recebem permissões extensas para garantir o funcionamento integrado dos recursos da plataforma. No entanto, essa conveniência cria um vetor de ataque significativo, que pode ser explorado por atores internos mal-intencionados ou contas comprometidas para se moverem lateralmente dentro de um ambiente de nuvem.
Em resposta à divulgação responsável feita pela XM Cyber, o Google afirmou que o comportamento identificado opera conforme o projeto original da plataforma, classificando-o como intencional. Essa posição reforça a necessidade de as empresas adotarem uma postura de segurança proativa, em vez de confiarem cegamente nas configurações padrão dos provedores de nuvem, especialmente em ambientes que lidam com dados sensíveis e modelos de machine learning.
Detalhes técnicos da exploração
A exploração das vulnerabilidades se baseia na maneira como o Google Vertex AI gerencia a identidade e o acesso de seus componentes internos. Os service agents são criados automaticamente para facilitar operações complexas, como treinamento de modelos, execução de pipelines de dados e implantação de endpoints. Para que essas tarefas ocorram sem interrupções, a plataforma concede a essas identidades um conjunto amplo de permissões no nível do projeto. A pesquisa da XM Cyber demonstrou que um usuário com um papel de baixo privilégio, como o “Viewer”, pode, sob certas condições, interagir com a API do Vertex AI para solicitar e obter tokens de acesso pertencentes a esses service agents. Uma vez de posse desses tokens, o atacante assume efetivamente os privilégios da conta de serviço, que frequentemente incluem permissões de editor ou administrador sobre diversos recursos do Google Cloud, como BigQuery e Cloud Storage. Esse método de escalonamento é particularmente perigoso porque a atividade gerada pelo service agent comprometido parece legítima para as ferramentas de monitoramento, mascarando a violação como uma operação normal da plataforma e dificultando a detecção de atividades maliciosas.
A resposta do Google e a filosofia do ‘design intencional’
A posição oficial do Google Cloud, que classifica o comportamento como uma característica do design, evidencia uma filosofia comum em plataformas de nuvem que priorizam a facilidade de uso e a rápida implementação. Ao fornecer permissões amplas por padrão, a empresa remove barreiras para que desenvolvedores e cientistas de dados possam utilizar os recursos de IA sem a necessidade de configurações complexas de gerenciamento de identidade e acesso (IAM). Essa abordagem acelera a inovação, mas transfere uma parte significativa da responsabilidade de segurança para o cliente.
Analistas de segurança apontam que essa estratégia subordina os modelos de governança corporativa à arquitetura do provedor. As empresas perdem visibilidade e controle granular sobre as “identidades invisíveis” que operam em seus ambientes. O incidente serve como um lembrete crítico do modelo de responsabilidade compartilhada na nuvem: enquanto o provedor é responsável pela segurança *da* nuvem, o cliente é responsável pela segurança *na* nuvem. Isso inclui a configuração adequada de permissões, a auditoria de contas de serviço e a implementação de controles de segurança adicionais para proteger os workloads.
Implicações para a segurança corporativa
As brechas identificadas no Vertex AI ampliam consideravelmente os riscos associados a ameaças internas. Um funcionário mal-intencionado ou um atacante que tenha comprometido uma conta de baixo privilégio pode usar essa técnica para acessar e exfiltrar dados sensíveis.
A manipulação de service agents é uma tática furtiva, pois não dispara os alertas de segurança tradicionais que monitoram a criação de novas permissões para usuários. As operações realizadas com os tokens roubados são registradas como ações legítimas executadas pela própria plataforma.
Ferramentas de segurança empresarial, como sistemas de detecção e resposta de endpoint (EDR) ou gerenciamento de eventos e informações de segurança (SIEM), raramente são configuradas para monitorar o comportamento de identidades gerenciadas pelo provedor, criando um ponto cego significativo na postura de defesa.
Ambientes de IA frequentemente processam grandes volumes de informações confidenciais, e a falta de isolamento adequado entre os recursos permite que um comprometimento inicial se espalhe rapidamente, aumentando drasticamente o raio de impacto de uma violação de segurança.
Histórico de segurança do Vertex AI
Esta não é a primeira vez que a segurança da plataforma Vertex AI é questionada. Em novembro de 2024, pesquisadores da Palo Alto Networks divulgaram vulnerabilidades semelhantes que permitiam o escalonamento de privilégios por meio de “custom jobs” e a exfiltração de modelos de machine learning.
Naquela ocasião, o Google implementou correções para os problemas específicos reportados. No entanto, a recorrência de falhas relacionadas à gestão de privilégios sugere desafios estruturais no design de plataformas de IA gerenciadas, que, por natureza, precisam conceder um alto grau de autonomia aos seus agentes internos para funcionar de maneira eficaz.
Alinhamento com as diretrizes do OWASP
As descobertas estão alinhadas com os riscos emergentes catalogados pela Open Web Application Security Project (OWASP). Em dezembro de 2025, a organização lançou o “OWASP Top 10 for Large Language Model Applications”, um guia para os principais riscos de segurança em sistemas de IA.
A vulnerabilidade do Vertex AI se enquadra perfeitamente na categoria ASI03, que trata do abuso de identidade e privilégios em sistemas de IA autônomos. Esta categoria alerta para o perigo de agentes que recebem acesso excessivo a ferramentas e recursos sem restrições granulares suficientes.
O framework do OWASP serve como uma referência essencial para que as equipes de segurança possam avaliar e mitigar riscos em plataformas de IA, destacando que a confiança excessiva em componentes de terceiros pode levar a falhas de segurança significativas.
Medidas de mitigação e recomendações de especialistas
Para mitigar os riscos, especialistas em segurança recomendam que as empresas que utilizam o Vertex AI implementem imediatamente controles compensatórios. A primeira medida é realizar uma auditoria completa de todas as identidades de serviço associadas aos workloads de IA, aplicando o princípio do menor privilégio sempre que possível.
É crucial implementar um monitoramento específico para a atividade desses service agents, tratando-os como contas privilegiadas. Isso envolve a criação de alertas para padrões de comportamento anormais, como o acesso a dados ou APIs fora do escopo de sua função habitual. A segmentação de recursos e a criação de barreiras de segurança entre diferentes projetos podem limitar o raio de ação de um atacante em caso de comprometimento.
O futuro da governança em plataformas de IA
A rápida evolução e adoção de ferramentas de inteligência artificial exigem uma adaptação constante nas estratégias de defesa e governança. As organizações precisam equilibrar a agilidade proporcionada por serviços gerenciados com a necessidade de manter controle e visibilidade sobre seus ambientes de nuvem, reconhecendo que a segurança é uma responsabilidade compartilhada.