Los investigadores de ciberseguridad han revelado un «punto ciego» de seguridad en la plataforma Vertex AI de Google Cloud que podría permitir que un atacante utilice agentes de inteligencia artificial (IA) para obtener acceso no autorizado a datos confidenciales y comprometer el entorno de nube de una organización.

Según la Unidad 42 de Palo Alto Networks, el problema se relaciona con cómo se puede hacer un mal uso del modelo de permisos de Vertex AI aprovechando la agente de servicioEl alcance excesivo del permiso de forma predeterminada.

«Un agente mal configurado o comprometido puede convertirse en un ‘agente doble’ que parece cumplir su propósito previsto, mientras extrae secretamente datos confidenciales, compromete la infraestructura y crea puertas traseras en los sistemas más críticos de una organización», dijo el investigador de la Unidad 42, Ofir Shaty. dicho en un informe compartido con The Hacker News.

Específicamente, la empresa de ciberseguridad descubrió que el agente de servicio por proyecto y por producto (P4SA) asociado con un agente de IA implementado creado con el kit de desarrollo de agentes de Vertex AI (ADK) tenía permisos excesivos otorgados de forma predeterminada. Esto abrió la puerta a un escenario en el que los permisos predeterminados de P4SA podrían usarse para extraer las credenciales de un agente de servicio y realizar acciones en su nombre.

Después de implementar el agente Vertex a través de Motor de agentecualquier llamada al agente invoca el servicio de metadatos de Google y expone las credenciales del agente de servicio, junto con el proyecto de Google Cloud Platform (GCP) que aloja al agente de IA, la identidad del agente de IA y los alcances de la máquina que aloja al agente de IA.

La Unidad 42 dijo que pudo usar las credenciales robadas para saltar del contexto de ejecución del agente de IA al proyecto del cliente, socavando efectivamente las garantías de aislamiento y permitiendo el acceso de lectura sin restricciones a todos los datos de los depósitos de Google Cloud Storage dentro de ese proyecto.

«Este nivel de acceso constituye un riesgo de seguridad significativo, transformando al agente de IA de una herramienta útil a una potencial amenaza interna», añadió.

Eso no es todo. Con el Vertex AI Agent Engine implementado ejecutándose dentro de un proyecto de inquilino administrado por Google, las credenciales extraídas también otorgaron acceso a los depósitos de Google Cloud Storage dentro del inquilino, ofreciendo más detalles sobre la infraestructura interna de la plataforma. Sin embargo, se descubrió que las credenciales carecían de los permisos necesarios para acceder a los depósitos expuestos.

Para empeorar las cosas, las mismas credenciales del agente de servicio P4SA también permitieron el acceso a repositorios restringidos de Artifact Registry propiedad de Google que se revelaron durante la implementación de Agent Engine. Un atacante podría aprovechar este comportamiento para descargar imágenes de contenedores de repositorios privados que constituyen el núcleo de Vertex AI Reasoning Engine.

Es más, las credenciales de P4SA comprometidas no solo permitieron descargar imágenes que aparecían en los registros durante la implementación de Agent Engine, sino que también expusieron el contenido de los repositorios de Artifact Registry, incluidas varias otras imágenes restringidas.

«Obtener acceso a este código propietario no sólo expone la propiedad intelectual de Google, sino que también proporciona al atacante un modelo para encontrar más vulnerabilidades», explicó la Unidad 42.

«El Artifact Registry mal configurado resalta una falla adicional en la gestión del control de acceso para la infraestructura crítica. Un atacante podría potencialmente aprovechar esta visibilidad no intencionada para mapear la cadena de suministro de software interna de Google, identificar imágenes obsoletas o vulnerables y planificar futuros ataques».

Google desde entonces actualizó su documentación oficial para explicar claramente cómo Vertex AI utiliza los recursos, las cuentas y los agentes. El gigante tecnológico también recomendó que los clientes utilicen Traiga su propia cuenta de servicio (BYOSA) para reemplazar al agente de servicio predeterminado y hacer cumplir el principio de privilegio mínimo (PoLP) para garantizar que el agente tenga solo los permisos que necesita para realizar la tarea en cuestión.

«Otorgar a los agentes permisos amplios de forma predeterminada viola el principio de privilegio mínimo y es una falla de seguridad peligrosa por diseño», dijo Shaty. «Las organizaciones deben tratar la implementación de agentes de IA con el mismo rigor que el nuevo código de producción. Validar los límites de permisos, restringir los alcances de OAuth al mínimo privilegio, revisar la integridad de la fuente y realizar pruebas de seguridad controladas antes del lanzamiento de la producción».

La administración Trump está planeando un organismo interinstitucional para enfrentar a los piratas informáticos malignos, programas piloto para proteger la infraestructura crítica en todos los estados y otras medidas vinculadas a su recién lanzada estrategia cibernética, dijo el lunes el Director Nacional Cibernético, Sean Cairncross.

La “célula interinstitucional” reunirá a agencias como el Departamento de Justicia, el Departamento de Estado, el FBI y el Pentágono, lo que dejará en claro que emprender un ciberataque no se trata sólo de atacar a enemigos en el ciberespacio, dijo Cairncross.

«Claro, eso es parte del asunto, pero no es todo», dijo en un evento organizado por USTelecom. Incluirá esfuerzos diplomáticos, arrestos y más, dijo. «Como ha dejado claro el presidente Trump, espera resultados y ha facultado al equipo bajo su mando para ir a conseguirlos».

Se atenderá una serie de programas piloto para industrias de infraestructura críticas específicas en estados específicos, como el agua en Texas y la carne vacuna en Dakota del Sur, dijo Cairncross. Los diferentes sectores operan en niveles más o menos maduros, afirmó.

“Una de las cosas por las que estamos trabajando es alinear esos sectores y priorizarlos de una manera que tenga sentido”, dijo.

Cairncross dijo que la administración quiere compartir mejor la información con la industria y que también buscará revisar las regulaciones en algunos casos. Uno de esos casos es la regla de divulgación de incidentes de 2023 de la Comisión de Bolsa y Valores, que generó una de las oposición más vehemente de la industria bajo la búsqueda de regulaciones cibernéticas por parte de la administración Biden. La idea es asegurarse de que “tengan sentido para la industria”, dijo Cairncross.

Pero la administración también tendrá cosas que busca del sector privado. Eso incluirá reunir a los directores ejecutivos y enviarles el mensaje de que “es necesario dedicar algunos recursos reales”, dijo.

Cairncross ha hablado antes sobre el deseo de establecer una academia para abordar la educación y la capacitación en una nación con persistentes ofertas de empleo en ciberseguridad, pero hay más cosas relacionadas con esto, dijo.

El esfuerzo, sobre el cual Cairncross dijo que la administración publicaría detalles pronto, también incluirá una fundición (que “podrá escalar con capital privado la nueva innovación y desplegarla más rápidamente”) y un acelerador (“de modo que cuando haya financiamiento previo para proyectos, realmente se pueda acelerar y poder escalar también y superar algunos de los obstáculos de adquisición que a menudo se encuentran en este espacio”).