Palo Alto Networksは、Google CloudのVertex AI開発プラットフォーム上に構築されたAIエージェントをどのように武装化したかについて、その研究者たちが詳細を共有しました。
この研究は、開発者がAIエージェントを作成、展開、管理、およびスケールすることを可能にするVertex Agent EngineとAgent Development Kit(ADK)に焦点を当てていました。
Palo Alto Networksの研究者たちは、これらのエージェントが攻撃者に侵害され、「二重スパイ」に変えられる可能性があり、データの流出、バックドアの作成、インフラストラクチャの侵害など、さまざまな種類の悪意のある活動を可能にすることを発見しました。
研究者たちが発見した主な問題の1つは、ユーザーが展開したAIエージェントに関連するPer-Project、Per-Product Service Agent(P4SA)に関するものです。サービスエージェントは、Google Cloud Platform(GCP)サービスがリソースにアクセスできるようにするサービスアカウントです。
Palo Altoによれば、問題はP4SAがデフォルトで過度な権限を持っていることです。同社の研究者たちは、これらの権限を悪用してGCPサービスエージェントの認証情報を取得し、AIエージェントの実行コンテキストから所有者のプロジェクトと関連するデータストレージに移動するために使用できることを示しました。
「このレベルのアクセスは重大なセキュリティリスクを構成し、AIエージェントを有用なツールからインサイダーの脅威に変えます。」研究者たちは説明しました。
さらに、攻撃者が侵害されたP4SA認証情報を悪用してVertex AIをホストするGoogleプロジェクトへの無制限のアクセスを取得する方法を示しました。攻撃者はこのアクセスを使用してプライベートリポジトリからコンテナイメージをダウンロードできます。
「これらのイメージはVertex AI Reasoning Engineのコアを形成しています。この独自のコードへのアクセスを取得することは、Googleの知的財産を露出させるだけでなく、攻撃者にさらなる脆弱性を見つけるためのブループリントを提供します。」研究者たちは指摘しました。
また、侵害された認証情報を使用して、攻撃者に役立つ可能性のある他のイメージを含む制限されたArtifact Registryリポジトリ、および潜在的に機密情報を含むGoogle Cloud Storageバケットにアクセスできることを発見しました。
研究者たちはまた、攻撃者がエージェントの環境内でリモートコード実行のために操作できる可能性があるファイルに遭遇しました。脅威行為者はこれを使用して、強力で永続的なバックドアを作成できます。
Palo Altoはその調査結果をGoogleと共有し、技術大手は潜在的なリスクを指摘するためにドキュメントを修正することで問題に対応しました。
Googleはまた、Agent Engineを保護し、最小権限実行を確保するために、Bring Your Own Service Account(BYOSA)の使用を推奨しています。BYOSAにより、Agent Engineユーザーは最小権限の原則を適用でき、エージェントが機能するために必要な権限のみを付与できます。
さらに、Googleは、サービスエージェントが本番イメージを変更するのを防ぐために、強力でオーバーライド不可能なコントロールが実装されていることに注意しました。
