- Unit 42が、Google CloudでのVertexAIエージェントの設定ミスにより「二重スパイ」にハイジャックされる可能性があることを明かしている
- デフォルト権限が多すぎるため、攻撃者がピボットし、Cloud Storageにアクセスし、Googleの専有コードを公開する可能性がある
- Googleはドキュメンテーションを更新し、顧客に対してデフォルトの代わりにBring Your Own Service Account (BYOSA)を使用するよう促している
クラウドの設定ミスはデータ漏えいの最大の原因の1つですが、今、私たちが心配する別の形式の設定ミスがあります – AIエージェント。
パロアルトネットワークスのサイバーセキュリティ部門であるUnit 42は、Google Cloud Platform (GCP) Vertex AI Agent Engineにデプロイされたエージェントが「二重スパイ」に変えられる方法を示す新しい分析結果を発表しました – 意図した目的を果たしているように見えながら、悪質な行為を行っています。
Vertex AIはGoogle Cloudの主要なAI/MLプラットフォームであり、開発者は機械学習モデルと生成AIアプリを構築およびデプロイできます。Agent Engineはモデルを自律型エージェントに変えるものです。
記事は下に続きます
欠陥を見つけるためのブループリント
しかし、Unit 42は、権限に注意しないと、ユーザーのエージェントが乗っ取りに対して脆弱になる可能性があることを指摘しています。
「デフォルト権限スコープの重大なリスクを悪用し、単一のサービスエージェントを侵害することにより、Vertex AIの権限モデルがどのように悪用され、意図しない結果につながるかを明らかにします」と報告書は述べています。
研究者は最初に制御環境でVertex AIのADKを使用してカスタムAIエージェントをデプロイし、その後エージェントのデフォルトサービスアカウント(P4SA)が過度な権限を持っていることを発見しました。
その後、カスタム構築された悪意のあるツールを使用して、メタデータサービスからサービスエージェント認証情報を抽出し、その後それらを使用してコンシューマプロジェクトにピボットしました。これにより、すべてのCloud Storageデータと、プロデューサー(Google管理)環境への無制限の読み取りアクセスが得られました。
これにより、制限されたArtifact Registryリポジトリが公開され、研究者はプライベートコンテナイメージをダウンロードし、内部リソースと検査されたアーティファクトを列挙し、専有ソースコードと内部インフラストラクチャの詳細を明らかにすることができました。
「この専有コードにアクセスすることにより、Googleの知的財産が公開されるだけでなく、攻撃者がさらなる脆弱性を見つけるためのブループリントが提供されます」と研究者は論文で説明しました。
これに応じて、Googleはドキュメンテーションを更新し、Vertex AIがリソース、アカウント、エージェントをどのように使用するかをより詳しく説明するようにしました。同社は現在、顧客にデフォルトのものを置き換えるためにBring Your Own Service Account (BYOSA)を使用することを推奨しています。
そしてもちろん、あなたもTikTokでTechRadarをフォローすることができます – ニュース、レビュー、動画形式でのアンボックスングのため、およびWhatsAppで私たちから定期的なアップデートを受け取ることができます。
