人工知能エージェントはエンタープライズワークフローを変革していますが、危険な新しい攻撃ベクトルも導入しています。
Palo Alto Networks Unit 42のセキュリティ研究者は最近、Google Cloud Platform(GCP)のVertex AI Agent Engineに重大な脆弱性を発見しました。
過度に広範なデフォルト権限を悪用することで、攻撃者は悪意のある「ダブルエージェント」をデプロイして、機密データを秘密裏に流出させ、重要なクラウドインフラストラクチャを侵害することができます。
ダブルエージェント悪用
この基本的な脆弱性は、デプロイされたAIエージェントに関連付けられたプロジェクトごと、製品ごとのサービスエージェント(P4SA)のデフォルト権限スコープから生じています。
Palo Alto Networksの研究者は、攻撃者がGoogle Cloud Application Development Kit(ADK)を使用して悪意のあるAIエージェントを構築し、シリアル化されたPythonピクルファイルとしてパッケージ化できることを実証しました。
ピクルオブジェクトの使用は本質的に危険です。デシリアル化時に任意のコード実行を許可することで悪名高いからです。
デプロイされると、悪意のあるエージェントはGoogleの内部メタデータサービスにクエリを実行してP4SA認証情報を抽出します。
これらの盗まれた認証情報により、攻撃者はエージェントの隔離された環境から抜け出し、高度に権限を持つサービスエージェントのアイデンティティで操作することができます。
侵害された認証情報を使用することで、攻撃者はGCPエコシステム内の複数の境界を越えてピボットできます。
この権限昇格は、一見役立つAIツールを重大なインサイダー脅威に変えます。この研究はいくつかの重大な結果を強調しました:
- コンシューマープロジェクトはすべてのGoogle Cloud Storage Bucketsへの無制限の読み取りアクセスに苦しんでおり、組織の最も機密性の高いデータを露出させています。
- プロデューサー環境は制限されたGoogleが所有するArtifact Repositoryリポジトリを公開し、攻撃者が独自のソースコードとコンテナイメージをダウンロードできるようにします。
- テナントプロジェクトは機密デプロイメントファイルを明らかにします。Googleの基盤となるインフラストラクチャマッピングを公開する内部Dockerfilesを含みます。
- 過度に寛容なデフォルトOAuth 2.0スコープはGoogle Workspaceデータに潜在的なリスクを作成し、GmailやDriveなどの接続されたサービスを脅かす可能性があります。
Vertex AIデプロイメントの保護
この脆弱性の責任ある開示に続いて、Googleはサプライチェーンとインフラストラクチャのリスクに対処するためにUnit 42と協力しました。
Googleは攻撃者が本番環境のコンテナイメージを改ざんするのを防ぐための強力な内部制御があることを確認しましたが、Vertex AIがリソースとエージェントをどのように使用するかを明確にするために公式ドキュメントを大幅に改訂しました。
このような脅威から保護するために、組織はデフォルトのサービスエージェントを放棄し、厳格なアクセス制御を優先する必要があります。
GoogleはすべてのVertex AIデプロイメントにBring Your Own Service Account(BYOSA)アーキテクチャを採用することを強くお勧めします。
カスタムの専用サービスアカウントをデプロイすることで、セキュリティチームは最小権限の原則を適用でき、AIエージェントがそのタスクに必要な正確な権限のみを持つことを保証できます。
組織はAIエージェントのデプロイメントを他の本番環境コードと同様に扱う必要があり、ロールアウト前に厳格なセキュリティレビュー、検証された権限境界、および制限されたスコープが必要です。
翻訳元: https://gbhackers.com/google-clouds-vertex-ai-hit-by-vulnerability/
