出典:Shutterstock経由のKrot_Studio
多くの組織が複雑なビジネスと運用ワークフローを自動化するためにデプロイし始めたAIエージェントは、適切な権限で正しく設定されていない場合、静かに組織に対して悪用される可能性があります。
パロアルトネットワークスによる最近の調査では、Google CloudのVertex AIプラットフォームにおけるリスクの具体化方法が示されており、過剰なデフォルト権限により、攻撃者がデプロイされたAIエージェントを悪用し、機密データを盗み、制限された내部インフラストラクチャにアクセスし、その他の不正な行為を実行する方法が提示されています。
過度な権限
Googleは、検索・クラウド大手にパロアルトネットワークスが調査結果を開示した後、Vertex AIがエージェントおよび他のリソースをどのように使用するかをより明確に説明するために、公式ドキュメンテーションを更新しました。Googleはまた、最小権限アクセスをエージェント型AI環境で使用したい組織に対して、Vertex Agent Engineのデフォルトサービスエージェントを独自のカスタム専用サービスアカウントで置き換えることを推奨しています。
Vertex AIは、組織がAI駆動型アプリケーションを構築、デプロイ、および管理できるGoogle Cloudプラットフォームです。開発者がデータベースのクエリ、API との相互作用、ファイルの管理、および最小限の人間による監視で自動化されたデシジョンメイキングを実行するための自律エージェントを作成するために使用できるエージェントエンジンとアプリケーション開発キットを提供しています。多くのエンタープライズがこれらのエージェント、または他のクラウドプラットフォーム上の同様のエージェントを使用して、ワークフローを自動化し、データを分析し、顧客サービスツールに力を与え、既存のクラウドサービスに対するAI対応機能を実現し、その過程で広い範囲のアクセス権限を付与しています。
そして、その広範なアクセスが、攻撃者がそれらのエージェントをハイジャックし、組織が使用している場合には一見正常に見える一方で、汚い仕事をする二重スパイに変えるための機会を作成するのです。パロアルトは報告書で述べています。
Google の Vertex AI プラットフォーム上で、研究者はデプロイされたすべての Vertex AI エージェントに関連付けられたデフォルトサービスアカウント(プロジェクトあたり、製品あたりのサービスエージェント(P4SA))を発見し、過度なデフォルト権限を持っていました。研究者は、エージェントのサービスアカウント認証情報を抽出できる攻撃者が、それらを使用して顧客のクラウド環境の機密領域にアクセスする方法を示しました。彼らは、同じ認証情報がどのように攻撃者がGoogle独自の内部インフラストラクチャから独自のコンテナイメージをダウンロードし、潜在的な将来の攻撃のための内部Googleストレージバケットへのハードコードされた参照を発見する方法を示しました。
重大なセキュリティリスク
「このレベルのアクセスは重大なセキュリティリスクを構成し、AIエージェントを有用なツールからインサイダー脅威に変えます」とパロアルト研究者のOfir Shatyは述べました。「エージェントエンジンにデフォルトで設定されたスコープは、GCP環境を超えて組織のGoogle Workspace(Gmail、Google Calendar、Google Driveなどのサービスを含む)に拡張する可能性があります。」
脅威を実証するため、パロアルトの研究者はVertex AIエージェントの概念実証を構築し、デプロイされると、Googleの内部メタデータサービスにリクエストを送信してP4SAのサービスエージェントのライブ認証情報を抽出します。研究者はこれらの認証情報に関連付けられた権限を使用して、AIエージェントの環境から顧客のより広いGoogle Cloud ProjectおよびGoogle独自の内部インフラストラクチャに侵入しました。
パロアルトは他の主要なクラウドベンダーのAIプラットフォーム上で同様に過度なデフォルトエージェント権限が見つかるかどうかを理解しようとするDark Readingのリクエストにすぐには応答しませんでした。しかし、同社のAIセキュリティ担当VPであるIan Swansonは、組織の広範なテイクアウェイはAIエージェントが意図せずに導入できるセキュリティリスクに注意を払う必要性です。
「エージェントは、AIが話すエンタープライズ生産性からAIが行動するシフトを表しています」と彼は言います。つまり、リスクはもはやデータ漏洩だけでなく、エージェントが不正な行為をとることについてもです。「エージェントをデプロイする場合、組織はAIなしでセキュリティはあり得ないことを認識する必要があります。セキュリティチームは、エンタープライズ環境内のどこにエージェントが存在するかを発見し、デプロイ前に潜在的なリスクを評価し、ビジネスおよび運用ワークフローに入るときにランタイムでエージェントを保護する必要があります」と彼は言います。
GoogleのスポークスウーマンはVertex AIのエージェントが持つ権限をより多くの組織に認識させるための措置として、同社の最近のドキュメンテーション更新を指摘しました。「エージェントエンジンのセキュリティ確保と最小権限実行の鍵となるベストプラクティスは、Bring Your Own Service Account(BYOSA)です」とスポークスウーマンはパロアルト報告書を引用して述べました。「BYOSAを使用すると、エージェントエンジンユーザーは最小権限の原則を実施し、エージェントに機能するために必要な特定の権限のみを付与し、過度な権限のリスクを効果的に軽減することができます。」
翻訳元: https://www.darkreading.com/cyber-risk/googles-vertex-ai-over-privilege-problem
