サイバーセキュリティ研究者らが、**Google Cloud**の**Vertex AI**プラットフォームにおけるセキュリティ上の「盲点」を明らかにしました。この脆弱性により、人工知能（AI）エージェントが悪用され、攻撃者が機密データへの不正アクセスを取得したり、組織のクラウド環境を侵害したりする可能性があります。  ### 過剰な権限：根本原因 **Palo Alto Networks**のUnit 42によると、この問題はVertex AIの権限モデルが、デフォルトでサービスエージェントの過剰な権限スコープを悪用される可能性があることに起因しています。 Unit 42の研究者であるOfir Shaty氏は、The Hacker Newsに共有されたレポートの中で、「設定ミスや侵害されたエージェントは、『二重スパイ』となり、本来の目的を果たしているように見せかけながら、秘密裏に機密データを流出させ、インフラストラクチャを侵害し、組織の最も重要なシステムへのバックドアを作成する可能性があります」と述べています。 具体的には、サイバーセキュリティ企業は、Vertex AIのAgent Development Kit（ADK）を使用して構築された展開済みAIエージェントに関連付けられたPer-Project, Per-Product Service Agent（P4SA）が、デフォルトで過剰な権限を付与されていることを発見しました。これにより、P4SAのデフォルト権限を使用してサービスエージェントの認証情報を抽出し、そのエージェントになりすまして操作を実行できるシナリオが開かれました。 ### 認証情報の窃取と不正アクセス Agent Engineを介してVertexエージェントを展開した後、エージェントへのあらゆる呼び出しは**Google**のメタデータサービスを呼び出し、サービスエージェントの認証情報、AIエージェントをホストする**Google Cloud Platform**（GCP）プロジェクト、AIエージェントのID、およびAIエージェントをホストするマシンのスコープを公開します。 Unit 42は、窃取された認証情報を使用して、AIエージェントの実行コンテキストから顧客プロジェクトにジャンプし、事実上分離保証を損ない、そのプロジェクト内のすべての**Google Cloud Storage**バケットのデータへの無制限の読み取りアクセスを許可できたと述べています。 「このレベルのアクセスは重大なセキュリティリスクを構成し、AIエージェントを便利なツールから潜在的な内部脅威に変えます」と同社は付け加えています。  ### 制限されたリポジトリへのアクセス **Google**管理のテナントプロジェクト内で展開されたVertex AI Agent Engineを実行すると、抽出された認証情報はテナント内の**Google Cloud Storage**バケットへのアクセスも可能にし、プラットフォームの内部インフラストラクチャに関する詳細情報を提供しました。しかし、これらの認証情報では、公開されたバケットにアクセスするために必要な権限が不足していることが判明しました。 さらに悪いことに、同じP4SAサービスエージェントの認証情報は、Agent Engineの展開中に明らかになった、制限された**Google**所有のArtifact Registryリポジトリへのアクセスも可能にしました。攻撃者はこの動作を利用して、Vertex AI Reasoning Engineのコアを構成するプライベートリポジトリからコンテナイメージをダウンロードできます。 Unit 42は、「この独自のコードへのアクセスは、**Google**の知的財産を公開するだけでなく、攻撃者にさらなる脆弱性を見つけるための青写真を提供します」と説明しています。 「設定ミスのあるArtifact Registryは、重要なインフラストラクチャのアクセス制御管理におけるさらなる欠陥を浮き彫りにしています。攻撃者はこの意図しない可視性を悪用して、**Google**の内部ソフトウェアサプライチェーンをマッピングし、非推奨または脆弱なイメージを特定し、さらなる攻撃を計画する可能性があります。」 ### Googleの対応と推奨事項 **Google**はその後、Vertex AIがリソース、アカウント、エージェントをどのように使用するかを明確に説明するために、公式ドキュメントを更新しました。同社はまた、顧客がデフォルトのサービスエージェントの代わりにBring Your Own Service Account（BYOSA）を使用し、エージェントが必要なタスクを実行するために必要な権限のみを持つように、最小権限の原則（PoLP）を強制することを推奨しています。 Shaty氏は、「デフォルトでエージェントに広範な権限を付与することは、最小権限の原則に違反しており、設計上危険なセキュリティ上の欠陥です。組織は、AIエージェントの展開を新しい本番コードと同様の厳格さで扱うべきです。権限境界を検証し、OAuthスコープを最小権限に制限し、ソースの整合性をレビューし、本番ロールアウト前に制御されたセキュリティテストを実施してください。」と述べています。