Investigadores de ciberseguridad han revelado un "punto ciego" de seguridad en la plataforma **Vertex AI** de **Google Cloud** que podría permitir que agentes de inteligencia artificial (IA) sean armados por un atacante para obtener acceso no autorizado a datos sensibles y comprometer el entorno de nube de una organización.  ### Permisos Excesivos: La Causa Raíz Según **Palo Alto Networks** Unit 42, el problema se relaciona con cómo el modelo de permisos de Vertex AI puede ser mal utilizado aprovechando el alcance excesivo de permisos del agente de servicio por defecto. "Un agente mal configurado o comprometido puede convertirse en un 'doble agente' que parece cumplir su propósito previsto, mientras exfiltra secretamente datos sensibles, compromete la infraestructura y crea puertas traseras en los sistemas más críticos de una organización", dijo Ofir Shaty, investigador de Unit 42, en un informe compartido con The Hacker News. Específicamente, la empresa de ciberseguridad descubrió que el Agente de Servicio por Proyecto y por Producto (P4SA) asociado con un agente de IA desplegado construido utilizando el Kit de Desarrollo de Agentes (ADK) de Vertex AI tenía permisos excesivos otorgados por defecto. Esto abrió la puerta a un escenario donde los permisos por defecto del P4SA podrían ser utilizados para extraer las credenciales de un agente de servicio y realizar acciones en su nombre. ### Robo de Credenciales y Acceso No Autorizado Después de desplegar el agente de Vertex a través de Agent Engine, cualquier llamada al agente invoca el servicio de metadatos de **Google** y expone las credenciales del agente de servicio, junto con el proyecto de **Google Cloud Platform** (GCP) que aloja el agente de IA, la identidad del agente de IA y los alcances de la máquina que aloja el agente de IA. Unit 42 dijo que pudo usar las credenciales robadas para saltar del contexto de ejecución del agente de IA al proyecto del cliente, socavando efectivamente las garantías de aislamiento y permitiendo acceso de lectura sin restricciones a todos los datos de los buckets de **Google Cloud Storage** dentro de ese proyecto. "Este nivel de acceso constituye un riesgo de seguridad significativo, transformando al agente de IA de una herramienta útil a una potencial amenaza interna", agregó.  ### Acceso a Repositorios Restringidos Con el Vertex AI Agent Engine desplegado ejecutándose dentro de un proyecto de inquilino administrado por **Google**, las credenciales extraídas también otorgaron acceso a los buckets de **Google Cloud Storage** dentro del inquilino, ofreciendo más detalles sobre la infraestructura interna de la plataforma. Sin embargo, se encontró que las credenciales carecían de los permisos necesarios para acceder a los buckets expuestos. Para empeorar las cosas, las mismas credenciales del agente de servicio P4SA también permitieron el acceso a repositorios restringidos de Artifact Registry propiedad de **Google** que se revelaron durante el despliegue del Agent Engine. Un atacante podría aprovechar este comportamiento para descargar imágenes de contenedores de repositorios privados que constituyen el núcleo del Vertex AI Reasoning Engine. "Obtener acceso a este código propietario no solo expone la propiedad intelectual de **Google**, sino que también proporciona a un atacante un plano para encontrar más vulnerabilidades", explicó Unit 42. "La mala configuración de Artifact Registry resalta una falla adicional en la gestión del control de acceso para la infraestructura crítica. Un atacante podría potencialmente aprovechar esta visibilidad no intencionada para mapear la cadena de suministro de software interna de **Google**, identificar imágenes obsoletas o vulnerables, y planificar ataques adicionales." ### Respuesta y Recomendaciones de Google Desde entonces, **Google** ha actualizado su documentación oficial para explicar claramente cómo Vertex AI utiliza recursos, cuentas y agentes. El gigante tecnológico también ha recomendado que los clientes utilicen Bring Your Own Service Account (BYOSA) para reemplazar el agente de servicio por defecto y aplicar el principio de menor privilegio (PoLP) para garantizar que el agente tenga solo los permisos que necesita para realizar la tarea en cuestión. "Otorgar permisos amplios a los agentes por defecto viola el principio de menor privilegio y es una falla de seguridad peligrosa por diseño", dijo Shaty. "Las organizaciones deben tratar el despliegue de agentes de IA con el mismo rigor que el nuevo código de producción. Validen los límites de permisos, restrinjan los alcances de OAuth al menor privilegio, revisen la integridad de la fuente y realicen pruebas de seguridad controladas antes del lanzamiento a producción."