Sicherheitsforscher haben einen "blinden Fleck" in Googles Vertex AI Plattform aufgedeckt, der es Angreifern ermöglichen könnte, künstliche Intelligenz (KI)-Agenten zu missbrauchen, um unbefugten Zugriff auf sensible Daten zu erlangen und die Cloud-Umgebung eines Unternehmens zu kompromittieren.  ### Übermäßige Berechtigungen: Die Ursache Laut Unit 42 von Palo Alto Networks liegt das Problem darin, wie das Vertex AI Berechtigungsmodell missbraucht werden kann, indem die standardmäßig übermäßigen Berechtigungen des Service-Agenten ausgenutzt werden. "Ein falsch konfigurierter oder kompromittierter Agent kann zu einem 'Doppelagenten' werden, der seinen vorgesehenen Zweck erfüllt, während er heimlich sensible Daten exfiltriert, die Infrastruktur kompromittiert und Backdoors in die kritischsten Systeme eines Unternehmens schafft", sagte Ofir Shaty, Forscher bei Unit 42, in einem Bericht, der mit The Hacker News geteilt wurde. Konkret stellte das Cybersicherheitsunternehmen fest, dass der Per-Project, Per-Product Service Agent (P4SA), der mit einem mit dem Vertex AI Agent Development Kit (ADK) erstellten KI-Agenten verbunden ist, standardmäßig übermäßige Berechtigungen erhielt. Dies eröffnete ein Szenario, in dem die Standardberechtigungen des P4SA genutzt werden konnten, um die Anmeldeinformationen eines Service-Agenten zu extrahieren und in dessen Namen Aktionen durchzuführen. ### Anmeldedaten-Diebstahl und unbefugter Zugriff Nach der Bereitstellung des Vertex-Agenten über den Agent Engine ruft jeder Aufruf an den Agenten den Metadatendienst von Google auf und legt die Anmeldeinformationen des Service-Agenten offen, zusammen mit dem Google Cloud Platform (GCP)-Projekt, das den KI-Agenten hostet, der Identität des KI-Agenten und den Geltungsbereichen der Maschine, die den KI-Agenten hostet. Unit 42 gab an, dass es die gestohlenen Anmeldeinformationen nutzen konnte, um vom Ausführungskontext des KI-Agenten in das Kundenprojekt zu springen, wodurch die Isolationsgarantien effektiv untergraben wurden und ein uneingeschränkter Lesezugriff auf alle Daten in den Google Cloud Storage-Buckets innerhalb dieses Projekts ermöglicht wurde. "Dieses Zugriffslevel stellt ein erhebliches Sicherheitsrisiko dar und verwandelt den KI-Agenten von einem hilfreichen Werkzeug in eine potenzielle Insider-Bedrohung", fügte es hinzu.  ### Zugriff auf eingeschränkte Repositories Da der bereitgestellte Vertex AI Agent Engine in einem von Google verwalteten Mandantenprojekt lief, gewährten die extrahierten Anmeldeinformationen auch Zugriff auf die Google Cloud Storage-Buckets innerhalb des Mandanten und lieferten weitere Details über die interne Infrastruktur der Plattform. Es wurde jedoch festgestellt, dass die Anmeldeinformationen nicht über die erforderlichen Berechtigungen verfügten, um auf die exponierten Buckets zuzugreifen. Um die Sache noch schlimmer zu machen, ermöglichten dieselben P4SA-Service-Agent-Anmeldeinformationen auch den Zugriff auf eingeschränkte, Google-eigene Artifact Registry-Repositories, die während der Bereitstellung des Agent Engines aufgedeckt wurden. Ein Angreifer könnte dieses Verhalten nutzen, um Container-Images aus privaten Repositories herunterzuladen, die den Kern des Vertex AI Reasoning Engine bilden. "Der Zugriff auf diesen proprietären Code legt nicht nur das geistige Eigentum von Google offen, sondern liefert einem Angreifer auch eine Blaupause, um weitere Schwachstellen zu finden", erklärte Unit 42. "Die falsch konfigurierte Artifact Registry hebt einen weiteren Fehler im Zugriffsmanagement für kritische Infrastrukturen hervor. Ein Angreifer könnte diese unbeabsichtigte Sichtbarkeit nutzen, um die interne Software-Lieferkette von Google abzubilden, veraltete oder anfällige Images zu identifizieren und weitere Angriffe zu planen." ### Googles Reaktion und Empfehlungen Google hat inzwischen seine offizielle Dokumentation aktualisiert, um klarzustellen, wie Vertex AI Ressourcen, Konten und Agenten nutzt. Der Tech-Gigant hat auch empfohlen, dass Kunden Bring Your Own Service Account (BYOSA) verwenden, um den Standard-Service-Agenten zu ersetzen, und das Prinzip der geringsten Rechte (PoLP) durchsetzen, um sicherzustellen, dass der Agent nur die Berechtigungen hat, die er zur Ausführung der anstehenden Aufgabe benötigt. "Die standardmäßige Gewährung breiter Berechtigungen an Agenten verstößt gegen das Prinzip der geringsten Rechte und ist ein gefährlicher Designfehler", sagte Shaty. "Organisationen sollten die Bereitstellung von KI-Agenten mit der gleichen Sorgfalt behandeln wie neuen Produktionscode. Validieren Sie Berechtigungsgrenzen, beschränken Sie OAuth-Geltungsbereiche auf das Minimum, überprüfen Sie die Integrität der Quelle und führen Sie kontrollierte Sicherheitstests vor der Produktionsfreigabe durch."