News (TA)

Google இன் வெர்டெக்ஸ் AI இல் உள்ள பாதிப்பு இயல்புநிலை அமைப்புகளின் மூலம் சிறப்புரிமையை அதிகரிக்க அனுமதிக்கிறது

Por Redação Portal

Publicado em 20 de janeiro de 2026

Google - Charles-McClintock Wilson/shutterstock.com

Siga o Mix Vale no GoogleVeja as notícias do Mundo com destaque nas buscas do GoogleAdicionar

புதிய இணைய பாதுகாப்பு ஆராய்ச்சி கூகுளின் வெர்டெக்ஸ் AI செயற்கை நுண்ணறிவு தளத்தில் இரண்டு குறிப்பிடத்தக்க பாதிப்புகளை வெளிப்படுத்தியுள்ளது. பாதுகாப்பு நிறுவனமான எக்ஸ்எம் சைபரால் அடையாளம் காணப்பட்ட குறைபாடுகள், குறைந்தபட்ச அனுமதிகளைக் கொண்ட பயனர்கள் தங்கள் சலுகைகளை அதிகரிக்க அனுமதிக்கின்றன, மேலும் கிளவுட் சூழலில் மிகவும் சக்திவாய்ந்த செயல்பாடுகளுக்கான அணுகலைப் பெறுகின்றன. முக்கிய சிக்கல் இயங்குதளத்தின் இயல்புநிலை அமைப்புகளில் உள்ளது, இது தானியங்கு சேவை கணக்குகளுக்கு அதிகப்படியான அனுமதிகளை வழங்குகிறது.

இந்த கண்டுபிடிப்பு Google Cloud இன் AI உள்கட்டமைப்பை நம்பியிருக்கும் நிறுவனங்களுக்கு மறைந்திருக்கும் அபாயத்தை அம்பலப்படுத்துகிறது, குறிப்பாக உள் அச்சுறுத்தல்கள் தொடர்பாக. ஒரு தீங்கிழைக்கும் பயனர் அல்லது அடிப்படை அணுகலுடன் சமரசம் செய்யப்பட்ட கணக்கு முக்கியமான ஆதாரங்களைக் கையாளவும், முக்கியமான தரவை அணுகவும் அல்லது அங்கீகரிக்கப்படாத செயல்களைச் செய்யவும் இந்த ஓட்டையைப் பயன்படுத்திக் கொள்ளலாம். கூகிள் தனது பதிலில், கவனிக்கப்பட்ட நடத்தை தளத்தின் அசல் வடிவமைப்போடு ஒத்துப்போகிறது, குறைப்பதற்கான பொறுப்பை வாடிக்கையாளர்களுக்கு மாற்றுகிறது.

நிர்வகிக்கப்படும் AI சேவைகளில் கடுமையான பாதுகாப்பு நிர்வாகத்தின் தேவையை எச்சரிக்கை வலுப்படுத்துகிறது. கருவியின் பயன்பாட்டை எளிதாக்குவதை நோக்கமாகக் கொண்ட இயல்புநிலை அமைப்புகளால் வழங்கப்படும் வசதி, பாதுகாப்பு குழுக்களால் கவனிக்கப்படாமல் போகும் தாக்குதல் திசையன்களை உருவாக்குகிறது. அணுகல் கொள்கைகளை உடனடியாக மதிப்பாய்வு செய்யவும், சேவை கணக்கு செயல்பாடுகளை நெருக்கமாக கண்காணிக்கவும் நிபுணர்கள் பரிந்துரைக்கின்றனர்.

அதிகரிப்பு தோல்வி எவ்வாறு செயல்படுகிறது

“சேவை முகவர்கள்” எனப்படும் அதன் சேவை கணக்குகளை Google Vertex AI நிர்வகிக்கும் விதத்தை இந்த பாதிப்பு பயன்படுத்துகிறது. இவை Google Cloud ஆல் தானாக நிர்வகிக்கப்படும் சிறப்பு அடையாளங்கள், வெவ்வேறு இயங்குதளச் சேவைகள் ஒன்றோடொன்று தொடர்புகொள்வதை அனுமதிக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது மற்றும் AI மாதிரிகள் அல்லது செயலாக்கத் தரவைப் பயிற்றுவித்தல் போன்ற உள் பணிகளைச் செய்ய பயனர் ஆதாரங்களை அணுகலாம். முழு பிளாட்ஃபார்ம் செயல்பாட்டை உறுதிசெய்ய, இந்த முகவர்களுக்கு இயல்பாகவே திட்ட-நிலை அனுமதிகளின் பரந்த தொகுப்பு வழங்கப்படுகிறது. XM Cyber இன் ஆராய்ச்சி, ஒரு எளிய “பார்வையாளருக்கு” சமமான குறைந்தபட்ச அனுமதிகளைக் கொண்ட தாக்குபவர், சில சூழ்நிலைகளில், இந்த சேவை முகவர்களின் அங்கீகார டோக்கன்களைப் பெற கணினியை ஏமாற்ற முடியும் என்பதை நிரூபித்தது. இந்த டோக்கனை வைத்திருப்பதன் மூலம், தாக்குபவர் சேவைக் கணக்கின் அடையாளம் மற்றும் உயர்ந்த சலுகைகளை திறம்பட ஏற்றுக்கொள்கிறார், இது அவர்களின் அசல் நோக்கத்திற்கு அப்பாற்பட்ட செயல்களைச் செய்ய அனுமதிக்கிறது, பாதுகாப்பான, நிர்வகிக்கப்பட்ட அடையாளத்தை சக்திவாய்ந்த உள் தாக்குதல் திசையனாக மாற்றுகிறது.

வடிவமைப்பு குறித்த கூகுளின் அதிகாரப்பூர்வ பதில்

XM சைபர் மூலம் பாதிப்புகள் குறித்து அறிவிக்கப்பட்ட பிறகு, கூகுள் கிளவுட் அறிக்கையை ஆய்வு செய்து, சேவை முகவர்களின் நடத்தை நோக்கம் கொண்டதாக செயல்படுகிறது என்று முடிவு செய்தது. நிறுவனம் இந்த சிக்கலை சரிசெய்ய வேண்டிய குறைபாடாக வகைப்படுத்தவில்லை, மாறாக வெர்டெக்ஸ் AI வடிவமைப்பின் வேண்டுமென்றே அம்சமாக வகைப்படுத்தியது. இந்த அணுகுமுறை பயன்பாட்டின் எளிமை மற்றும் விரைவான அம்சத்தைப் பயன்படுத்துவதற்கு முன்னுரிமை அளிக்கிறது, தொடக்கத்திலிருந்தே சிக்கலான அனுமதிகள் உள்ளமைவுகள் தேவையில்லாமல் பயனர்கள் AI திறன்களை இயக்கலாம் மற்றும் பயன்படுத்த முடியும் என்பதை உறுதிசெய்கிறது. பல்வேறு கிளவுட் சேவைகளுக்கு இடையே சிக்கலான ஒருங்கிணைப்புகளை ஆதரிக்கும் பரந்த அணுகலுடன், பின்னணியில் வெளிப்படைத்தன்மையுடன் செயல்படும் வகையில் சேவை முகவர்கள் வடிவமைக்கப்பட்டுள்ளன.

[[MVG_PROTECTED_BLOCK_0]

இருப்பினும், இந்த வடிவமைப்பு தத்துவம் வாடிக்கையாளர்களுக்கு குறிப்பிடத்தக்க சுமையை ஏற்படுத்துகிறது. இயல்புநிலை அமைப்புகளை ஏற்றுக்கொள்வதன் மூலம், நிறுவனங்கள் தங்களுடைய சொந்த நிர்வாகக் கொள்கைகள் மற்றும் இடர் சகிப்புத்தன்மையுடன் சீரமைக்கப்படாத பாதுகாப்பு மாதிரியை மறைமுகமாக ஏற்றுக்கொள்கின்றன. இந்த நடைமுறையானது பெருநிறுவன பாதுகாப்பு மாதிரிகளை கிளவுட் வழங்குநரின் கட்டமைப்பிற்கு கீழ்ப்படுத்துகிறது என்று சந்தை ஆய்வாளர்கள் சுட்டிக்காட்டுகின்றனர், இது தளத்தின் முக்கியமான உள் கூறுகளின் மீது பாதுகாப்பு குழுக்கள் கொண்டிருக்கும் தெரிவுநிலை மற்றும் கட்டுப்பாட்டைக் குறைக்கிறது. இந்த நடத்தையை மாற்றக்கூடாது என்ற Google இன் முடிவு, பகிரப்பட்ட பொறுப்பு மாதிரியின் முக்கியத்துவத்தை வலுப்படுத்துகிறது, இதில் வாடிக்கையாளர்கள் தாங்கள் பயன்படுத்தும் சேவைகளை சரியாக உள்ளமைக்கவும் கண்காணிக்கவும் பொறுப்பாவார்கள்.

கார்ப்பரேட் பாதுகாப்பிற்கான தாக்கங்கள்

இந்த அதிகப்படியான அனுமதிகளால் வழங்கப்படும் அபாயங்கள் உள் அச்சுறுத்தல்களின் பின்னணியில் குறிப்பாக தீவிரமானவை. குறைந்த சலுகைக் கணக்கை சமரசம் செய்த தீங்கிழைக்கும் பணியாளர் அல்லது தாக்குபவர் நெட்வொர்க் மூலம் பக்கவாட்டாக நகர்த்த இந்த நுட்பத்தைப் பயன்படுத்தலாம்.

இந்த சேவை கணக்குகளின் சுரண்டல் நுட்பமானது மற்றும் கண்டறிவது கடினம். Google ஆல் நிர்வகிக்கப்படும் ஒரு அடையாளத்தால் செயல்கள் செய்யப்படுவதால், பாரம்பரிய பாதுகாப்பு கண்காணிப்பு கருவிகள் செயல்பாட்டை முறையானதாகவும் வழக்கமானதாகவும் விளக்கலாம்.

AI சூழல்கள் பெரும்பாலும் வாடிக்கையாளர் தகவல், அறிவுசார் சொத்து மற்றும் வர்த்தக ரகசியங்கள் உட்பட பெரிய அளவிலான முக்கியமான தரவுகளை செயலாக்கி சேமிக்கின்றன. இந்த பகுதியில் ஒரு சமரசம் ஒரு பேரழிவு தாக்கத்தை ஏற்படுத்தும்.

திட்டங்களுக்கிடையில் போதுமான தனிமைப்படுத்தல் இல்லாதது மற்றும் பரந்த அனுமதிகளை நம்பியிருப்பது, ஒரு மீறல் தரவுத்தளங்கள், சேமிப்பக அமைப்புகள் மற்றும் AI இயங்குதளத்துடன் இணைக்கப்பட்ட பிற முக்கியமான பயன்பாடுகளுக்கு அங்கீகரிக்கப்படாத அணுகலுக்கு வழிவகுக்கும்.

மேடையில் பாதுகாப்பு சிக்கல்களின் வரலாறு

Vertex AI இன் அனுமதிகள் கட்டமைப்பு பாதுகாப்பு ஆராய்ச்சியாளர்களால் கேள்விக்குள்ளாக்கப்படுவது இது முதல் முறை அல்ல. நவம்பர் 2024 இல், பாலோ ஆல்டோ நெட்வொர்க்குகள் ஒரே தளத்தில் பல்வேறு பாதிப்புகளை வெளிப்படுத்தியது, இது சிறப்புரிமை அதிகரிப்பு மற்றும் இயந்திர கற்றல் மாதிரிகளை வெளியேற்ற அனுமதித்தது.

அந்த நேரத்தில், தோல்விகள் “தனிப்பயன் வேலைகள்” மற்றும் தனியுரிம வாடிக்கையாளர் தரவுகளுடன் சரிசெய்யப்பட்ட AI மாடல்களுக்கான முறையற்ற அணுகல் தொடர்பானவை. கூகுள் உடனடியாகப் பதிலளித்து, புகாரளிக்கப்பட்ட குறிப்பிட்ட சிக்கல்களுக்குத் திருத்தங்களைப் பயன்படுத்தியது.

சிறப்புரிமை நிர்வாகத்துடன் இணைக்கப்பட்ட பாதிப்புகளின் மறுநிகழ்வு, நிர்வகிக்கப்பட்ட AI இயங்குதளங்களின் வடிவமைப்பில் ஒரு கட்டமைப்பு வடிவத்தை பரிந்துரைக்கிறது. பயனர் அனுபவத்தை எளிதாக்க, இந்த இயங்குதளங்கள் அவற்றின் உள் கூறுகளுக்கு இயல்பாகவே உயர்ந்த அனுமதிகளை வழங்க முனைகின்றன, இது ஒரு தொடர்ச்சியான பாதுகாப்பு சவாலை உருவாக்குகிறது.

OWASP வழிகாட்டுதல்களுக்கான இணைப்பு

கண்டுபிடிப்புகள் பாதுகாப்பு சமூகத்தால் பட்டியலிடப்பட்ட வளர்ந்து வரும் அபாயங்களுடன் நேரடியாக இணைக்கப்பட்டுள்ளன. டிசம்பர் 2025 இல், OWASP திட்டம் (ஓப்பன் வெப் அப்ளிகேஷன் செக்யூரிட்டி ப்ராஜெக்ட்) “ஏஜென்டிக் அப்ளிகேஷன்களுக்கான டாப் 10″ஐ வெளியிட்டது, இது தன்னாட்சி AI அமைப்புகளின் குறிப்பிட்ட பாதுகாப்பு அபாயங்களை மையமாகக் கொண்டது.

வெர்டெக்ஸ் AI பாதிப்பு என்பது ASI03 வகைக்குள் அடங்கும், இது “தன்னாட்சி AI அமைப்புகளில் அடையாளம் மற்றும் சிறப்புரிமைகளின் துஷ்பிரயோகம்” தொடர்பானது. இந்த வகை, நடிகர்களின் செயல்பாட்டின் நோக்கத்தை மட்டுப்படுத்த தேவையான சிறு கட்டுப்பாடுகள் இல்லாமல் கருவிகள் மற்றும் ஆதாரங்களுக்கான அணுகலை வழங்குவதன் ஆபத்தை எடுத்துக்காட்டுகிறது.

கண்ணுக்கு தெரியாத அடையாளங்கள் பற்றிய கேள்வி

சேவை முகவர்கள் போன்ற “கண்ணுக்கு தெரியாத அடையாளங்களை” நிர்வகிப்பது இந்த பாதிப்பால் முன்னிலைப்படுத்தப்பட்ட மிகப்பெரிய சவால்களில் ஒன்றாகும். மனித பயனர் கணக்குகளைப் போலல்லாமல், இந்த தானியங்கு அடையாளங்கள் பின்னணியில் இயங்குகின்றன, அவை தானாகவே இயங்குதளத்தால் உருவாக்கப்படுகின்றன, மேலும் அவை மனிதக் கணக்குகளிலிருந்து வரும் அச்சுறுத்தல்களில் கவனம் செலுத்தும் பாதுகாப்புக் குழுக்களால் கடுமையாகத் தணிக்கை செய்யப்படுவதில்லை.

பரிந்துரைக்கப்பட்ட தணிப்பு நடவடிக்கைகள்

வெர்டெக்ஸ் AI ஐப் பயன்படுத்தும் நிறுவனங்கள் இந்த அபாயங்களைக் குறைக்க ஒரு செயலூக்கமான நிலைப்பாட்டை எடுக்க வேண்டும் என்று கிளவுட் பாதுகாப்பு நிபுணர்கள் பரிந்துரைக்கின்றனர். உங்கள் AI பணிச்சுமைகளுடன் தொடர்புடைய அனைத்து சேவை அடையாளங்களையும் முழுமையாக தணிக்கை செய்வது முதல் படியாகும், ஒவ்வொன்றும் என்ன அனுமதிகள் உள்ளன மற்றும் அவை கண்டிப்பாக தேவையா என்பதை அடையாளம் காணவும்.

இந்த சேவை முகவர்களின் செயல்பாடுகளை சிறப்புக் கணக்குகளாகக் கருதி குறிப்பிட்ட கண்காணிப்பைச் செயல்படுத்துவது மிகவும் முக்கியமானது. வழக்கமான நோக்கத்திற்கு வெளியே ஆதாரங்களை அணுகுவது அல்லது வழக்கத்திற்கு மாறான நேரங்களில் கட்டளைகளை செயல்படுத்துவது போன்ற அசாதாரண நடத்தை முறைகளுக்கான விழிப்பூட்டல்களை உருவாக்குவது இதில் அடங்கும், இது முறையற்ற கையாளுதலைக் குறிக்கலாம்.

கிளவுட் பகிரப்பட்ட பொறுப்பு

இந்த வழக்கு கிளவுட் கம்ப்யூட்டிங்கில் பகிரப்பட்ட பொறுப்பு மாதிரியின் அப்பட்டமான நினைவூட்டலாக செயல்படுகிறது. Google போன்ற வழங்குனர் கிளவுட்டின் பாதுகாப்பிற்கு (உடல் உள்கட்டமைப்பு மற்றும் முக்கிய சேவைகள்) பொறுப்பாக இருக்கும் அதே வேளையில், கிளவுட் “இன்” பாதுகாப்பிற்கு வாடிக்கையாளரே பொறுப்பு.

அனுமதிகளை சரியாக உள்ளமைத்தல், அடையாளங்கள் மற்றும் அணுகலை நிர்வகித்தல் மற்றும் உங்கள் சொந்த பயன்பாடுகள் மற்றும் தரவைக் கண்காணித்தல் ஆகியவை இதில் அடங்கும். எந்தவொரு நிர்வகிக்கப்பட்ட சேவையின் இயல்புநிலை அமைப்புகளையும் கண்மூடித்தனமாக நம்புவது, குறிப்பாக AI போன்ற முக்கியமான பகுதிகளில், தாக்குபவர்களால் பயன்படுத்தக்கூடிய குறிப்பிடத்தக்க பாதுகாப்பு இடைவெளிகளை நிறுவனங்களை வெளிப்படுத்துகிறது.

TagGoogle Vertex AI, xm சைபர், இணைய பாதுகாப்பு, சிறப்புரிமை அதிகரிப்பு, பாதிப்பு