Il team di ricerca Unit 42 di Palo Alto Networks ha identificato elementi di sicurezza critici in Vertex AI Agent Engine di Google Cloud Platform (GCP), dimostrando come un agente AI implementato possa essere trasformato in un’arma per compromettere un intero ambiente GCP, trasformandolo di fatto in un “double agent”.
Risultati principali dell’analisi:
- I ricercatori hanno sfruttato una vulnerabilità nella definizione predefinita degli ambiti di autorizzazione, compromettendo un singolo Per-Project, Per-Product Service Agent (P4SA) attraverso permessi eccessivi.
- L’agente compromesso ha ottenuto accesso di lettura illimitato a tutti i dati Google Cloud Storage Bucket all’interno del progetto del cliente (consumer).
- L’attacco ha anche concesso l’accesso a repository Artifact Registry riservati e di proprietà di Google, consentendo il download di immagini container che costituiscono il nucleo di Vertex AI Reasoning Engine e rivelando dettagli dell’infrastruttura interna di Google Cloud.
- L’analisi ha mostrato che ambiti OAuth 2.0 predefiniti eccessivamente permissivi e non modificabili hanno creato una vulnerabilità di sicurezza latente che avrebbe potuto estendere l’accesso a servizi di Google Workspace, come Gmail e Drive.
Unit 42 ha condiviso con Google la documentazione ufficiale che è stata rivista per aumentare la trasparenza sull’utilizzo delle risorse. Google ha anche suggerito l’applicazione della best practice del Bring Your Own Service Account (BYOSA) per aiutare le aziende a far rispettare il principio del minimo privilegio e mitigare il rischio di permessi eccessivi.
