சைபர் செக்யூரிட்டி நிறுவனமான எக்ஸ்எம் சைபர் நடத்திய விசாரணையில் கூகுள் வெர்டெக்ஸ் ஏஐ செயற்கை நுண்ணறிவு தளத்தில் இரண்டு குறிப்பிடத்தக்க பாதிப்புகள் இருப்பதை வெளிப்படுத்தியது. குறைபாடுகள் குறைந்தபட்ச அனுமதிகளைக் கொண்ட பயனர்கள் தங்கள் சலுகைகளை அதிகரிக்க அனுமதிக்கின்றன, முதலில் நியமிக்கப்பட்டதை விட அதிக அதிகாரத்துடன் கணினி செயல்பாடுகளை அணுகலாம். மையச் சிக்கல் கருவியின் இயல்புநிலை அமைப்புகளில் உள்ளது, இது பின்னணியில் செயல்படும் “சேவை முகவர்கள்” என்று அழைக்கப்படும் தானியங்கு கணக்குகளுக்கு பரந்த அதிகாரங்களை வழங்குகிறது.
ஆராய்ச்சியாளர்களின் கூற்றுப்படி, இந்த ஓட்டைகளை சுரண்டுவது ஒரு எளிய பார்வையாளர் போன்ற குறைந்த-ஆபத்து அணுகலை சிக்கலான உள் தாக்குதல்களுக்கான சாத்தியமான திசையனாக மாற்றுகிறது. குறைபாடுகளின் பொறுப்பான வெளிப்பாட்டிற்கு பதிலளிக்கும் விதமாக, கூகிள் கவனிக்கப்பட்ட நடத்தை தளத்தின் அசல் வடிவமைப்போடு ஒத்துப்போகிறது என்று அறிவித்தது, இது கிளவுட்டில் நிர்வகிக்கப்படும் AI சேவைகளில் செயல்பாடு மற்றும் பாதுகாப்பிற்கு இடையிலான சமநிலை பற்றிய விவாதத்தைத் தூண்டுகிறது.
இந்த எச்சரிக்கையானது செயற்கை நுண்ணறிவு சூழல்களின் பாதுகாப்பு குறித்த நிபுணர்களின் வளர்ந்து வரும் கவலையை வலுப்படுத்துகிறது. இயல்புநிலை கட்டமைப்புகள் உள் அல்லது வெளிப்புற அச்சுறுத்தல்களுக்கான நுழைவாயில்களாக மாறுவதைத் தடுப்பதற்காக, இந்தத் தொழில்நுட்பங்களைப் பயன்படுத்தும் நிறுவனங்களின் தரப்பில் மிகவும் கடுமையான பாதுகாப்பு நிர்வாகத்தின் அவசியத்தை இந்த கண்டுபிடிப்பு எடுத்துக்காட்டுகிறது.
சலுகைச் சுரண்டலுக்குப் பின்னால் உள்ள வழிமுறை
எக்ஸ்எம் சைபரால் அடையாளம் காணப்பட்ட பாதிப்புகள், கூகுள் கிளவுட் அதன் “சேவை முகவர்களின்” அடையாளங்களை நிர்வகிக்கும் விதத்துடன் உள்ளார்ந்த முறையில் இணைக்கப்பட்டுள்ளது. இவை இயங்குதளத்தால் கட்டுப்படுத்தப்படும் சிறப்பு சேவைக் கணக்குகள், அவை தானியங்கு பணிகளைச் செய்வதற்கும் பல்வேறு அம்சங்களை ஒருங்கிணைப்பதற்கும் பயனரின் சார்பாக செயல்படும். AI சேவைகள் தடையின்றி மற்றும் அதிகபட்ச செயல்திறனுடன் இயங்குவதை உறுதிசெய்ய, Vertex AI இந்த முகவர்களுக்கு மிகவும் பரந்த திட்ட-நிலை அனுமதிகளை வழங்குகிறது. “பார்வையாளர்” போன்ற வரையறுக்கப்பட்ட அணுகல் சுயவிவரத்துடன் கூட, சில நிபந்தனைகளின் கீழ் இந்த சலுகை பெற்ற முகவர்களிடமிருந்து அங்கீகார டோக்கன்களைப் பெற கணினியைக் கையாளும் திறனில் குறைபாடு உள்ளது. இந்த டோக்கன்களைப் பெற்றவுடன், தாக்குபவர், சேவை முகவரின் அடையாளத்தை திறம்பட எடுத்துக்கொள்வதோடு, முக்கியமான தரவை அணுகுதல், உள்ளமைவுகளை மாற்றுதல் அல்லது பிற Google கிளவுட் சேவைகளுடன் தொடர்புகொள்வது போன்ற அவர்களின் அசல் அனுமதிகளுக்கு அப்பாற்பட்ட செயல்களைச் செய்ய முடியும்.
Google Cloud இன் அதிகாரப்பூர்வ பதில்
XM சைபர் மூலம் அறிவிக்கப்பட்ட பிறகு, கூகுள் கிளவுட் அறிக்கையை மதிப்பாய்வு செய்து, வெர்டெக்ஸ் ஏஐயின் வடிவமைப்பிற்கு ஏற்ப வேண்டுமென்றே நடத்தையை வகைப்படுத்தியது. நிறுவனம் கூடுதல் பொதுக் கருத்துகளை வெளியிடவில்லை, சேவைகள் எதிர்பார்த்தபடி செயல்படுகின்றன என்ற நிலையைப் பேணுகிறது.
இந்த அணுகுமுறை வசதி மற்றும் சுறுசுறுப்புக்கு முன்னுரிமை அளிக்கிறது, சிக்கலான அனுமதிகள் உள்ளமைவுகள் தேவையில்லாமல், டெவலப்பர்கள் உடனடியாக மேம்பட்ட AI திறன்களை இயக்கவும் பயன்படுத்தவும் அனுமதிக்கிறது. BigQuery மற்றும் Cloud Storage போன்ற பல்வேறு கருவிகளுக்கு இடையேயான ஒருங்கிணைப்புகள் சீராக செயல்படுவதை உறுதிசெய்ய, சேவை முகவர்கள் பரந்த அணுகலுடன் செயல்படுகின்றனர்.
இருப்பினும், பாதுகாப்பு ஆய்வாளர்கள் இந்த “இயல்புநிலை பாதுகாப்பு” தத்துவம் நிறுவன நிர்வாக மாதிரிகளை வழங்குநரின் கட்டமைப்பிற்கு கீழ்ப்படுத்தலாம் என்று சுட்டிக்காட்டுகின்றனர். வாடிக்கையாளர் நிறுவனங்கள் முக்கியமான உள் கூறுகளின் மீது பார்வை மற்றும் சிறுமணி கட்டுப்பாட்டை இழக்கின்றன, விற்பனையாளர் செயல்படுத்தப்பட்ட பாதுகாப்பை கண்மூடித்தனமாக நம்புகின்றன, இது குறிப்பிடத்தக்க பாதுகாப்பு இடைவெளிகளை உருவாக்கலாம்.
கார்ப்பரேட் பாதுகாப்பிற்கான தாக்கங்கள்
இந்த பாதிப்புகளின் முக்கிய விளைவு உள் அச்சுறுத்தல்களுடன் தொடர்புடைய ஆபத்தின் அதிகரிப்பு ஆகும். தீங்கிழைக்கும் பணியாளர் அல்லது குறைந்த சலுகைகளுடன் சமரசம் செய்யப்பட்ட கணக்கு இந்த பலவீனத்தைப் பயன்படுத்தி கிளவுட் சூழலுக்குள் பக்கவாட்டாக நகர்த்தலாம், முக்கியமான தகவல்களை அணுகலாம் அல்லது முக்கியமான செயல்பாடுகளை நாசப்படுத்தலாம். சேவை முகவர்களுடன் குறுக்கீடு செய்வது மிகவும் ஆபத்தானது, ஏனெனில் இது பொதுவாக பாரம்பரிய பாதுகாப்பு விழிப்பூட்டல்களைத் தூண்டாது, அவை மனித பயனர் கணக்குகளில் இருந்து சந்தேகத்திற்கிடமான செயல்பாட்டைக் கண்டறிய அளவீடு செய்யப்படுகின்றன.
நிறுவனப் பாதுகாப்பு கண்காணிப்பு கருவிகள் வழங்குநரால் நிர்வகிக்கப்படும் அடையாளங்களின் நடத்தையைக் கண்காணிக்க அரிதாகவே கட்டமைக்கப்படுகின்றன, இதனால் இந்தக் கணக்குகளின் துஷ்பிரயோகம் இயங்குதளத்தின் வழக்கமான செயல்பாடாக மறைக்கப்படுகிறது. அதிக அளவிலான உணர்திறன் தரவுகளை அடிக்கடி செயலாக்கும் AI சூழல்களில், போதுமான தனிமைப்படுத்தல் மற்றும் குறிப்பிட்ட கண்காணிப்பு இல்லாதது இறுதியில் சமரசத்தின் தாக்க ஆரத்தை கடுமையாக அதிகரிக்கிறது. எதிர்பாராத தரவுத்தள வினவல்கள், சேமிப்பக களஞ்சியங்களுக்கான அங்கீகாரமற்ற அணுகல் மற்றும் ஆர்கெஸ்ட்ரேஷன் உள்ளமைவுகளில் மாற்றங்கள் போன்ற செயல்பாடுகள் கவனிக்கப்படாமல் போகலாம்.
மேடையில் பாதிப்புகளின் வரலாறு
Vertex AI இன் பாதுகாப்பு கட்டமைப்பு கேள்விக்குள்ளாக்கப்படுவது இது முதல் முறை அல்ல. நவம்பர் 2024 இல், Palo Alto Networks இன் ஆராய்ச்சியாளர்கள் அதே மேடையில் மற்ற பாதிப்புகளை வெளிப்படுத்தினர், இது சலுகைகளை அதிகரிக்க அனுமதித்தது, ஆனால் “தனிப்பயன் வேலைகள்” மற்றும் இயந்திர கற்றல் மாதிரிகளை வெளியேற்றுவதன் மூலம்.
அந்த நேரத்தில், தனிப்பயன் பயிற்சி பைப்லைன்கள் மற்றும் ஃபைன்-டியூன் செய்யப்பட்ட AI மாடல்களுக்கான முறையற்ற அணுகல் ஆகியவற்றை உள்ளடக்கிய தனிப்படுத்தப்பட்ட சிக்கல்களுக்கான திருத்தங்களை Google செயல்படுத்தியது. சிறப்புரிமை மேலாண்மை தொடர்பான தோல்விகளின் மறுநிகழ்வு, நிர்வகிக்கப்பட்ட AI இயங்குதளங்களின் வடிவமைப்பில் ஒரு கட்டமைப்பு வடிவத்தை பரிந்துரைக்கிறது, இது இயல்பாக, பயனர் அனுபவத்தை எளிதாக்க உள் முகவர்களுக்கு உயர்ந்த அனுமதிகளை வழங்க முனைகிறது.
OWASP வழிகாட்டுதல்களுடன் சீரமைப்பு
Vertex AI இல் சிறப்பிக்கப்பட்டுள்ள அபாயங்கள் AI அமைப்புகளுக்கான புதிய பாதுகாப்பு வழிகாட்டுதல்களுடன் முழுமையாக இணங்குகின்றன. டிசம்பர் 2025 இல், பயன்பாட்டு பாதுகாப்பில் உலகளாவிய குறிப்பான OWASP அறக்கட்டளை, தன்னாட்சி அமைப்புகளில் உள்ள முக்கிய அபாயங்களின் பட்டியலான “ஏஜென்டிக் பயன்பாடுகளுக்கான முதல் 10” ஐ வெளியிட்டது.
வகை ASI03, “அடையாளம் மற்றும் சிறப்புரிமை துஷ்பிரயோகம்”, எதிர்கொள்ளும் சூழ்நிலையை சரியாக விவரிக்கிறது, இதில் AI முகவர்கள் பாதுகாப்பாக செயல்பட தேவையான சிறுமணி கட்டுப்பாடுகள் இல்லாமல் கருவிகள் மற்றும் ஆதாரங்களுக்கான அணுகல் வழங்கப்படுகிறது. வெர்டெக்ஸ் AI போன்ற தளங்களில் உள்ளார்ந்த இடர்களை மதிப்பிடுவதற்கும் பொருத்தமான பாதுகாப்புகளை செயல்படுத்துவதற்கும் நிறுவனங்களுக்கு கட்டமைப்பு ஒரு அத்தியாவசிய வழிகாட்டியாக செயல்படுகிறது.
தணிப்பு நடவடிக்கைகள் மற்றும் பாதுகாப்பு பரிந்துரைகள்
வெர்டெக்ஸ் AI ஐப் பயன்படுத்தும் நிறுவனங்கள் பிளாட்ஃபார்மில் ஏற்படும் மாற்றங்களுக்காகக் காத்திருக்க வேண்டாம் என்றும், இழப்பீட்டுக் கட்டுப்பாடுகளை உடனடியாகச் செயல்படுத்த வேண்டும் என்றும் கிளவுட் பாதுகாப்பு நிபுணர்கள் பரிந்துரைக்கின்றனர். AI பணிச்சுமைகளுடன் தொடர்புடைய அனைத்து சேவை அடையாளங்களின் முழுமையான தணிக்கை முதல் செயலாக இருக்க வேண்டும்.
சேவை முகவர்களை அதிக சலுகை பெற்ற கணக்குகளாகக் கருதுவது அவசியம், கையாளுதல் அல்லது துஷ்பிரயோகத்தைக் குறிக்கும் பயன்பாட்டு முறைகளைக் கண்டறிய குறிப்பிட்ட கண்காணிப்பைப் பயன்படுத்துகிறது. தானியங்கு செயல்பாட்டின் எதிர்பார்க்கப்படும் சுயவிவரத்திலிருந்து விலகும் ஒழுங்கற்ற நடத்தைக்கான விழிப்பூட்டல்களை உள்ளமைப்பது இதில் அடங்கும்.
மற்ற முக்கியமான நடவடிக்கைகளில் சாத்தியமான இடங்களில் வெவ்வேறு கிளவுட் கூறுகளுக்கு இடையே அங்கீகரிப்பு நோக்கத்தை குறைப்பது மற்றும் மிகவும் முக்கியமான சொத்துக்களை பாதுகாக்க வலுவான பாதுகாப்பு தடைகளை அறிமுகப்படுத்துவது ஆகியவை அடங்கும். உணர்திறன் வளங்களை தனித் திட்டங்களாக அல்லது மெய்நிகர் நெட்வொர்க்குகளாகப் பிரிப்பது, தாக்குபவர்களின் அணுகலைக் கட்டுப்படுத்தலாம்.
பிளாட்ஃபார்ம் வழங்கிய இயல்புநிலை அனுமதிகளை அவ்வப்போது மதிப்பாய்வு செய்வது இன்றியமையாத பாதுகாப்பு சுகாதார நடைமுறையாகும். இந்த செயல்கள் செயல்பாட்டின் சிக்கலான தன்மை மற்றும் செலவுகளை அதிகரிக்க முடியும் என்றாலும், அவை ஒரு சம்பவத்தின் வெடிப்பு ஆரத்தை கட்டுப்படுத்துவதற்கும் சுற்றுச்சூழலில் செயல்படும் கண்ணுக்கு தெரியாத அடையாளங்கள் மீது பயனுள்ள கட்டுப்பாட்டை உறுதி செய்வதற்கும் முக்கியமானவை.
பகிரப்பட்ட பொறுப்பின் தடுமாற்றம்
AI கருவிகளின் விரைவுபடுத்தப்பட்ட பரிணாமத்திற்கு பாதுகாப்பு உத்திகளில் நிலையான தழுவல் தேவைப்படுகிறது. வழங்குநர்கள் மற்றும் வாடிக்கையாளர்கள் உள் கூறுகளின் பாதுகாப்பிற்கான பொறுப்பைப் பகிர்ந்து கொள்கிறார்கள், மேலும் நிர்வகிக்கப்பட்ட வழங்குநர்களிடமிருந்து இயல்புநிலை உள்ளமைவுகளில் குருட்டு நம்பிக்கை, நவீன கிளவுட் சூழல்களில் முக்கியமான பாதுகாப்பு இடைவெளிகளுக்கு நிறுவனங்களை வெளிப்படுத்துகிறது.
