Un estudio de Palo Alto Networks revela que los permisos predeterminados de Google Vertex AI Agent Engine permiten el acceso de lectura no autorizado a depósitos de almacenamiento y repositorios internos protegidos.
Palo Alto Networks Investigadores de seguridad han identificado vulnerabilidades en el modelo de permisos del Vertex AI Agent Engine de Google Cloud Platform. La plataforma permite el desarrollo de agentes de IA autónomos que se integran con servicios en la nube para ejecutar tareas complejas. El análisis de la configuración predeterminada muestra que las cuentas de servicio asociadas reciben permisos amplios que pueden ser explotados para acceder a datos sensibles e infraestructura interna.
La investigación comenzó con el despliegue de un agente de IA de prueba creado con el Google Cloud Application Development Kit. El Per-Project, Per-Product Service Agent (P4SA) creado para el despliegue, identificado como service-<PROJECT-ID>@gcp-sa-aiplatform-re.iam.gserviceaccount.com, incluía permisos predeterminados extensos. Al ejecutarse el agente, una herramienta personalizada consultó el servicio de metadatos de instancia. Esto devolvió las credenciales de la cuenta de servicio, incluidos detalles del proyecto, información de identidad y scopes asignados.
Con las credenciales extraídas, los investigadores obtuvieron acceso de lectura a todos los buckets de Google Cloud Storage en el proyecto consumer —el entorno propio de Google Cloud del cliente—. Los permisos efectivos cubrían storage.buckets.get, storage.buckets.list, storage.objects.get y storage.objects.list. Este nivel de acceso eludió los límites de aislamiento previstos y permitió listar y recuperar datos almacenados en los buckets del proyecto.
Las mismas credenciales también permitieron el acceso a repositorios restringidos de Artifact Registry en el proyecto producer de Google, el entorno interno que aloja los servicios de Vertex AI. Repositorios como us-docker.pkg.dev/cloud-aiplatform-private/reasoning-engine y cloud-aiplatform-private/llm-extension/reasoning-engine-py310 se volvieron accesibles. Se pudieron descargar imágenes de contenedores que forman el núcleo del Vertex AI Reasoning Engine, mientras que las cuentas de usuario estándar fueron denegadas. La enumeración a través de la API de Artifact Registry expuso además paquetes e imágenes restringidas adicionales cuya existencia no era visible previamente para partes externas.
El acceso se extendió al proyecto tenant, un entorno gestionado por Google dedicado a la instancia del Agent Engine desplegada. Los buckets de almacenamiento en este proyecto contenían archivos de despliegue como Dockerfile.zip, code.pkl y requirements.txt. El Dockerfile hacía referencia a ubicaciones internas de Google Cloud Storage, como gs://reasoning-engine-restricted/versioned_py/Dockerfile.zip, revelando aspectos de la infraestructura subyacente del servicio. El archivo code.pkl serializa el código Python del agente utilizando el módulo pickle. La documentación oficial de Python advierte que deserializar datos de fuentes no confiables con este módulo puede llevar a la ejecución arbitraria de código; la investigación señaló esto como un riesgo potencial aunque la explotación quedó fuera del alcance del estudio.
Los scopes predeterminados de OAuth 2.0 del agente también resultaron ser amplios y no editables. Estos scopes podrían teóricamente permitir la interacción con servicios de Google Workspace como Gmail, Calendar y Drive, aunque se requerirían permisos IAM separados. Su presencia predeterminada se desvía del principio de privilegio mínimo a nivel de acceso API.
El equipo de investigación compartió los hallazgos con Google de manera responsable. Google actualizó su documentación oficial para proporcionar detalles más claros sobre cómo Vertex AI utiliza recursos, cuentas y agentes. Google también recomendó el método Bring Your Own Service Account (BYOSA), que permite a las organizaciones asignar una cuenta de servicio personalizada con permisos estrechamente definidos en lugar de depender del P4SA predeterminado. Google confirmó que los controles existentes impiden que la cuenta de servicio modifique imágenes de producción, limitando ciertos riesgos entre tenants.
El estudio ilustra las implicaciones prácticas del scoping de permisos predeterminado en plataformas de IA. Las cuentas de servicio excesivamente permisivas pueden convertir un agente aparentemente útil en un vector para exfiltración de datos o mapeo de infraestructura. La combinación de acceso de cuenta de servicio, exposición de artefactos internos y formatos de serialización inseguros crea riesgos en capas que pueden no ser inmediatamente evidentes durante el despliegue estándar. Las organizaciones que utilizan Vertex AI deben revisar los límites de permisos, adoptar cuentas de servicio personalizadas cuando sea posible, restringir los scopes de OAuth y realizar validaciones de seguridad antes del uso en producción.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de