Des chercheurs en cybersécurité ont révélé un « point aveugle » de sécurité dans la plateforme **Vertex AI** de **Google Cloud**, qui pourrait permettre à des agents d'intelligence artificielle (IA) d'être exploités par un attaquant pour obtenir un accès non autorisé à des données sensibles et compromettre l'environnement cloud d'une organisation.  ### Permissions excessives : la cause profonde Selon **Palo Alto Networks** Unit 42, le problème réside dans la manière dont le modèle de permissions de Vertex AI peut être mal utilisé en exploitant par défaut le périmètre de permissions excessives de l'agent de service. « Un agent mal configuré ou compromis peut devenir un « double agent » qui semble remplir son rôle prévu, tout en exfiltrant secrètement des données sensibles, en compromettant l'infrastructure et en créant des backdoors dans les systèmes les plus critiques d'une organisation », a déclaré Ofir Shaty, chercheur chez Unit 42, dans un rapport partagé avec The Hacker News. Plus précisément, la société de cybersécurité a constaté que l'agent de service P4SA (Per-Project, Per-Product Service Agent) associé à un agent IA déployé, construit à l'aide du kit de développement d'agents (ADK) de Vertex AI, disposait de permissions excessives par défaut. Cela a ouvert la porte à un scénario où les permissions par défaut du P4SA pouvaient être utilisées pour extraire les identifiants d'un agent de service et effectuer des actions en son nom. ### Vol d'identifiants et accès non autorisé Après le déploiement de l'agent Vertex via Agent Engine, tout appel à l'agent déclenche le service de métadonnées de **Google** et expose les identifiants de l'agent de service, ainsi que le projet **Google Cloud Platform** (GCP) qui héberge l'agent IA, l'identité de l'agent IA et les scopes de la machine qui héberge l'agent IA. Unit 42 a déclaré avoir pu utiliser les identifiants volés pour passer du contexte d'exécution de l'agent IA au projet client, sapant ainsi les garanties d'isolation et permettant un accès en lecture illimité à toutes les données des buckets **Google Cloud Storage** au sein de ce projet. « Ce niveau d'accès constitue un risque de sécurité important, transformant l'agent IA d'un outil utile en une menace interne potentielle », a-t-elle ajouté.  ### Accès aux dépôts restreints Avec le Vertex AI Agent Engine déployé et fonctionnant dans un projet locataire géré par **Google**, les identifiants extraits ont également accordé l'accès aux buckets **Google Cloud Storage** au sein du locataire, offrant plus de détails sur l'infrastructure interne de la plateforme. Cependant, les identifiants n'avaient pas les permissions nécessaires pour accéder aux buckets exposés. Pour aggraver les choses, les mêmes identifiants de l'agent de service P4SA ont également permis d'accéder à des dépôts Artifact Registry restreints, appartenant à **Google**, qui ont été révélés lors du déploiement de l'Agent Engine. Un attaquant pourrait exploiter ce comportement pour télécharger des images de conteneurs à partir de dépôts privés qui constituent le cœur du Vertex AI Reasoning Engine. « L'accès à ce code propriétaire expose non seulement la propriété intellectuelle de **Google**, mais fournit également à un attaquant un plan pour trouver d'autres vulnérabilités », a expliqué Unit 42. « La mauvaise configuration d'Artifact Registry met en évidence une autre faille dans la gestion du contrôle d'accès pour l'infrastructure critique. Un attaquant pourrait potentiellement exploiter cette visibilité involontaire pour cartographier la chaîne d'approvisionnement logicielle interne de **Google**, identifier les images obsolètes ou vulnérables, et planifier d'autres attaques. » ### Réponse et recommandations de Google **Google** a depuis mis à jour sa documentation officielle pour expliquer clairement comment Vertex AI utilise les ressources, les comptes et les agents. Le géant de la technologie a également recommandé aux clients d'utiliser Bring Your Own Service Account (BYOSA) pour remplacer l'agent de service par défaut et d'appliquer le principe du moindre privilège (PoLP) pour garantir que l'agent dispose uniquement des permissions nécessaires pour effectuer la tâche à accomplir. « Accorder par défaut des permissions étendues aux agents viole le principe du moindre privilège et constitue une faille de sécurité dangereuse par conception », a déclaré Shaty. « Les organisations devraient traiter le déploiement d'agents IA avec la même rigueur que le nouveau code de production. Validez les limites de permissions, restreignez les scopes OAuth au moindre privilège, examinez l'intégrité de la source et effectuez des tests de sécurité contrôlés avant le déploiement en production. »