Säkerhetsföretaget XM Cyber har avslöjat två sårbarheter i Google Vertex AI-plattformen som tillåter användare med minsta privilegier att komma åt högre tjänsteagentroller. Essas-fel utnyttjar standardinställningarna för Google Cloud-verktyget för artificiell intelligens. Google rapporterade att det observerade beteendet fungerar i enlighet med plattformens ursprungliga design.
Cybersäkerhetsexperter framhåller att problemet avslöjar ett överdrivet beroende av hanterade AI-tjänster. Serviceagentidentiteter får breda behörigheter för att säkerställa funktionaliteten. Usuários med grundläggande åtkomst kan manipulera systemet för att få förhöjda åtkomsttokens.
Upptäckten förstärker behovet av att se över styrningsmetoder i molnmiljöer. Empresas som använder Vertex AI möter ökade risker från insiderhot utan ytterligare kontroller.
Detaljer om identifierade sårbarheter
Sårbarheterna finns i tilldelningen av privilegier till roller associerade med Vertex AI. Service-agenter är specialkonton som hanteras av Google Cloud som får åtkomst till användarresurser för att exekvera interna processer.
Dessa osynliga identiteter beviljas breda behörigheter på projektnivå för att möjliggöra automatiska operationer. En angripare med minimibehörigheter som motsvarar rollen som Viewer kan återställa tokens från serviceagenter under vissa förhållanden. Essa-åtgärden tillåter användning av förhöjda privilegier inom projektet.
XM Cyber förklarade att fel förvandlar hanterade identiteter till eskaleringsvektorer. Google vidhöll att tjänsterna fungerar som avsett efter ansvarsfullt avslöjande.
Officiell position för Google Cloud
Google gav ingen ytterligare kommentar utöver det ursprungliga svaret på XM Cyber. Företaget klassificerade beteendet som avsiktligt i utformningen av Vertex AI-plattformen.
Standardinställningarna prioriterar bekvämlighet för att aktivera AI-funktioner direkt. Service-agenter arbetar i bakgrunden med bred tillgång för att stödja integrationer mellan tjänster.
Analytiker noterar att detta tillvägagångssätt underordnar företagsstyrningsmodeller till leverantörsarkitekturen. Clientes förlorar full synlighet över plattformens interna komponenter.
Förstorade risker för insiderhot
Skadliga insiders kan utnyttja dessa svagheter för att få åtkomst utöver vad som normalt är tillåtet. Manipulering av serviceagenter genererar inte typiska varningar om misstänkt aktivitet.
Företagssäkerhetsverktyg övervakar sällan hanterade identitetsbeteenden. Abuso av dessa konton visas som legitima plattformsoperationer.
AI-miljöer involverar arbetsbelastningar som får åtkomst till flera tjänster och känsliga datauppsättningar. Brist på adekvat isolering ökar slagradien vid kompromiss.
- Övervaka oväntade frågor i BigQuery;
- Obehörig åtkomst till datalagring;
- Onormalt beteende i API-sessioner;
- Ändringar av orkestreringsinställningar.
Sammanhang av tidigare nummer i Vertex AI
Detta är inte den första identifieringen av liknande brister på plattformen. I november 2024 avslöjade Palo Alto Networks sårbarheter som möjliggjorde skalning via anpassade jobb och modellexfiltrering.
Google tillämpade korrigeringar för dessa problem efter release. Problemen gällde anpassade pipelines och felaktig tillgång till finjusterade maskininlärningsmodeller.
Återkommande teman relaterade till privilegier antyder strukturella mönster i designen. Managed AI Plataformas ger förhöjda behörigheter till interna agenter som standard.
Referenser till OWASP Agentic Top 10
OWASP släppte Top 10 för agentapplikationer i december 2025. Kategori ASI03 adresserar missbruk av identitet och privilegier i autonoma AI-system.
Denna klassificering kodar för risker som de som observeras i Vertex AI. Agentes ges tillgång till verktyg och resurser utan tillräckliga detaljerade begränsningar.
Andra relevanta kategorier inkluderar missbruk av verktyg och sårbarheter i agentförsörjningskedjan. Ramverket fungerar som referens för riskbedömning på liknande plattformar.
Rekommendationer från säkerhetsexperter
Professionella rekommenderar att du omedelbart implementerar kompenserande kontroller. CISO:er måste granska alla tjänsteidentiteter som är associerade med AI-arbetsbelastningar.
Specifik övervakning för serviceagenter behandlar dessa konton som privilegierade anställda. Alertas fokuserar på mönster som indikerar felaktig manipulation.
- Minskning av omfattningen av autentisering mellan komponenter;
- Införande av robusta säkerhetsbarriärer;
- Segmentering av känsliga resurser;
- Regelbunden granskning av standardbehörigheter.
Även om dessa åtgärder ökar driftskostnaderna begränsar de sprängradien. Organizações måste balansera bekvämlighet med effektiv kontroll över osynliga identiteter.
Företag som använder AI i skala granskar molnställningar för att inkludera intern observerbarhet. Blind tillit till hanterade leverantörer avslöjar kritiska luckor i moderna miljöer.
Den snabba utvecklingen av AI-verktyg kräver ständig anpassning av försvarsstrategier. Provedores och kunder delar ansvaret för säkerheten för interna komponenter.
