Pesquisadores de cibersegurança divulgaram um "ponto cego" de segurança na plataforma **Vertex AI** do **Google Cloud** que poderia permitir que agentes de inteligência artificial (IA) fossem armados por um atacante para obter acesso não autorizado a dados sensíveis e comprometer o ambiente de nuvem de uma organização.  ### Permissões Excessivas: A Causa Raiz De acordo com a Unit 42 da **Palo Alto Networks**, o problema está relacionado a como o modelo de permissões do Vertex AI pode ser mal utilizado, aproveitando o escopo excessivo de permissões do agente de serviço por padrão. "Um agente mal configurado ou comprometido pode se tornar um 'agente duplo' que parece servir ao seu propósito pretendido, enquanto secretamente exfiltra dados sensíveis, compromete a infraestrutura e cria backdoors nos sistemas mais críticos de uma organização", disse Ofir Shaty, pesquisador da Unit 42, em um relatório compartilhado com The Hacker News. Especificamente, a empresa de cibersegurança descobriu que o Agente de Serviço por Projeto e por Produto (P4SA) associado a um agente de IA implantado usando o Agent Development Kit (ADK) do Vertex AI tinha permissões excessivas concedidas por padrão. Isso abriu a porta para um cenário em que as permissões padrão do P4SA poderiam ser usadas para extrair as credenciais de um agente de serviço e realizar ações em seu nome. ### Roubo de Credenciais e Acesso Não Autorizado Após implantar o agente Vertex via Agent Engine, qualquer chamada ao agente invoca o serviço de metadados do **Google** e expõe as credenciais do agente de serviço, juntamente com o projeto **Google Cloud Platform** (GCP) que hospeda o agente de IA, a identidade do agente de IA e os escopos da máquina que hospeda o agente de IA. A Unit 42 disse que foi capaz de usar as credenciais roubadas para saltar do contexto de execução do agente de IA para o projeto do cliente, minando efetivamente as garantias de isolamento e permitindo acesso de leitura irrestrito a todos os dados dos buckets do **Google Cloud Storage** dentro desse projeto. "Este nível de acesso constitui um risco de segurança significativo, transformando o agente de IA de uma ferramenta útil em uma potencial ameaça interna", acrescentou.  ### Acesso a Repositórios Restritos Com o Vertex AI Agent Engine implantado e rodando dentro de um projeto de tenant gerenciado pelo **Google**, as credenciais extraídas também concederam acesso aos buckets do **Google Cloud Storage** dentro do tenant, oferecendo mais detalhes sobre a infraestrutura interna da plataforma. No entanto, descobriu-se que as credenciais não possuíam as permissões necessárias para acessar os buckets expostos. Para piorar, as mesmas credenciais do agente de serviço P4SA também permitiram o acesso a repositórios restritos do Artifact Registry, de propriedade do **Google**, que foram revelados durante a implantação do Agent Engine. Um atacante poderia alavancar esse comportamento para baixar imagens de contêineres de repositórios privados que constituem o núcleo do Vertex AI Reasoning Engine. "Obter acesso a esse código proprietário não apenas expõe a propriedade intelectual do **Google**, mas também fornece a um atacante um projeto para encontrar mais vulnerabilidades", explicou a Unit 42. "O Artifact Registry mal configurado destaca uma falha adicional no gerenciamento de controle de acesso para infraestrutura crítica. Um atacante poderia potencialmente alavancar essa visibilidade não intencional para mapear a cadeia de suprimentos de software interna do **Google**, identificar imagens desatualizadas ou vulneráveis e planejar ataques adicionais." ### Resposta e Recomendações do Google O **Google** desde então atualizou sua documentação oficial para explicar claramente como o Vertex AI usa recursos, contas e agentes. A gigante da tecnologia também recomendou que os clientes usem Bring Your Own Service Account (BYOSA) para substituir o agente de serviço padrão e impor o princípio do menor privilégio (PoLP) para garantir que o agente tenha apenas as permissões necessárias para executar a tarefa em questão. "Conceder permissões amplas aos agentes por padrão viola o princípio do menor privilégio e é uma falha de segurança perigosa por design", disse Shaty. "As organizações devem tratar a implantação de agentes de IA com o mesmo rigor que o novo código de produção. Valide os limites de permissão, restrinja os escopos do OAuth ao menor privilégio, revise a integridade da origem e conduza testes de segurança controlados antes do lançamento em produção."