セキュリティ研究者は、Google CloudのVertex AI Agent Engineで深刻な脆弱性を発見しました。この脆弱性は「Double Agent」エクスプロイトと呼ばれる手法を使用して、攻撃者がセンシティブデータを流出させ、重要なクラウドインフラを制御することを可能にします。
欠陥は、プラットフォームにデプロイされたAIエージェントに自動的に割り当てられる特権アイデンティティである、Per-Project、Per-Product Service Agent (P4SA)に存在します。
デフォルトでは、これらのサービスエージェントは、標準的なワークロードが必要とするべき権限よりもはるかに多くの権限を持っています。
攻撃者はGoogle’s Cloud Application Development Kit(ADK)を使用して悪意のあるAIエージェントを作成し、それをシリアル化されたPythonピクルファイルとしてパッケージ化することから始めます。
ピクルファイルは、デシリアル化された瞬間に任意のコードを実行するため、臭名高く危険であり、これはセキュリティコミュニティ全体で周知のリスクです。
悪意のあるエージェントがVertex AIのReasoning Engineにデプロイされると、GoogleのメタデータサービスをクエリしてP4SA認証情報を静かに抽出します。
盗まれた認証情報を使用して、攻撃者はエージェントの孤立した環境から抜け出し、高度な特権を持つサービスアカウントのアイデンティティの下で動作することができます。実質的には信頼されたAIツール内に隠れた内部脅威となります。
侵害された認証情報によって、影響は広範囲に及びます。攻撃者は以下を獲得します:
Unit 42による責任ある開示に従い、Googleは研究者と密接に協力して問題に対処しました。
Googleは内部統制が本番コンテナイメージの改ざんを防ぐことを確認しましたが、同社はエージェントの権限とリソース使用を明確にするため、公式ドキュメントを大幅に更新しました。
Googleは現在、すべてのVertex AIデプロイメントに対して、Bring Your Own Service Account (BYOSA)アーキテクチャを採用することを強く推奨しています。
このアプローチは最小特権の原則を強制し、各AIエージェントが必要な正確な権限のみを保持していることを保証します。それ以上の権限はありません。
AIエージェントは本番グレードのコードとして扱う必要があります。組織は厳密なセキュリティレビューを実施し、厳格な権限境界を適用し、デプロイメント開始前に広範なデフォルトサービスエージェントをカスタムのスコープされたサービスアカウントで置き換える必要があります。
翻訳元: https://cyberpress.org/google-cloud-vertex-ai-vulnerability/