Eine Studie von Palo Alto Networks zeigt, wie die Standardberechtigungen in der Google Vertex AI Agent Engine unbefugten Lesezugriff auf Speicher-Buckets und geschützte interne Repositories ermöglichen.
Palo Alto Networks Sicherheitsforscher haben Schwachstellen im Berechtigungsmodell der Google Cloud Platform Vertex AI Agent Engine identifiziert. Die Plattform unterstützt die Entwicklung autonomer KI-Agenten, die mit Cloud-Diensten integriert werden, um komplexe Aufgaben auszuführen. Die Analyse der Standardkonfiguration zeigt, dass die zugehörigen Dienstkonten umfassende Berechtigungen erhalten, die ausgenutzt werden können, um auf sensible Daten und interne Infrastruktur zuzugreifen.
Die Untersuchung begann mit der Bereitstellung eines Test-KI-Agenten mit dem Google Cloud Application Development Kit. Der Per-Project, Per-Product Service Agent (P4SA) für die Bereitstellung, identifiziert als service-<PROJECT-ID>@gcp-sa-aiplatform-re.iam.gserviceaccount.com, umfasste umfangreiche Standardberechtigungen. Bei der Ausführung des Agenten fragte ein benutzerdefiniertes Tool den Instanz-Metadatendienst ab. Dies lieferte die Anmeldedaten des Dienstkontos einschließlich Projekt-details, Identitätsinformationen und zugewiesener Scopes.
Mit den extrahierten Anmeldedaten erhielten die Forscher Lesezugriff auf alle Google Cloud Storage Buckets im Consumer-Projekt – der eigenen Google-Cloud-Umgebung des Kunden. Die wirksamen Berechtigungen umfassten storage.buckets.get, storage.buckets.list, storage.objects.get und storage.objects.list. Dieser Zugriff umging die vorgesehenen Isolationsgrenzen und ermöglichte das Auflisten und Abrufen von Daten in den Buckets des Projekts.
Dieselben Anmeldedaten ermöglichten auch den Zugriff auf eingeschränkte Artifact-Registry-Repositories im Producer-Projekt von Google, der internen Umgebung, die die Vertex-AI-Dienste hostet. Repositories wie us-docker.pkg.dev/cloud-aiplatform-private/reasoning-engine und cloud-aiplatform-private/llm-extension/reasoning-engine-py310 wurden erreichbar. Container-Images, die den Kern der Vertex AI Reasoning Engine bilden, konnten heruntergeladen werden, während Standard-Benutzerkonten der Zugriff verweigert wurde. Die Enumeration über die Artifact Registry API legte weitere eingeschränkte Pakete und Images offen, deren Existenz externen Parteien zuvor nicht sichtbar war.
Der Zugriff erstreckte sich auf das Tenant-Projekt, eine dedizierte Google-verwaltete Umgebung für die bereitgestellte Agent-Engine-Instanz. Storage Buckets in diesem Projekt enthielten Bereitstellungsdateien wie Dockerfile.zip, code.pkl und requirements.txt. Das Dockerfile verwies auf interne Google-Cloud-Storage-Orte, wie gs://reasoning-engine-restricted/versioned_py/Dockerfile.zip, und offenbarte Aspekte der zugrunde liegenden Infrastruktur. Die Datei code.pkl serialisiert den Python-Code des Agenten mit dem Pickle-Modul. Die offizielle Python-Dokumentation warnt davor, dass das Deserialisieren von Daten aus nicht vertrauenswürdigen Quellen mit diesem Modul zu beliebiger Code-Ausführung führen kann; die Studie hob dies als potenzielles Risiko hervor, obwohl eine Ausnutzung außerhalb des Untersuchungsumfangs lag.
Die Standard-OAuth-2.0-Scopes des Agenten erwiesen sich ebenfalls als breit und nicht editierbar. Diese Scopes könnten theoretisch die Interaktion mit Google-Workspace-Diensten wie Gmail, Calendar und Drive ermöglichen, obwohl separate IAM-Berechtigungen erforderlich wären. Ihre Standard-Präsenz weicht vom Least-Privilege-Prinzip auf API-Zugriffsebene ab.
Das Forschungsteam teilte die Erkenntnisse verantwortungsvoll mit Google. Google aktualisierte daraufhin seine offizielle Dokumentation, um klarere Angaben zur Nutzung von Ressourcen, Konten und Agenten durch Vertex AI zu machen. Google empfahl außerdem die Bring-Your-Own-Service-Account-Methode (BYOSA), die Organisationen ermöglicht, ein eigenes Dienstkonto mit eng definierten Berechtigungen zuzuweisen, anstatt auf den Standard-P4SA zu vertrauen. Google bestätigte, dass bestehende Kontrollen verhindern, dass der Dienstagent Produktions-Images verändert, und begrenzte damit bestimmte Cross-Tenant-Risiken.
Die Studie veranschaulicht praktische Implikationen der Standard-Berechtigungszuweisung in KI-Plattformen. Übermäßig permissive Dienstkonten können einen scheinbar hilfreichen Agenten in einen Vektor für Datene xfiltration oder Infrastruktur-Mapping verwandeln. Die Kombination aus Dienstkonto-Zugriff, interner Artefakt-Freigabe und unsicheren Serialisierungsformaten erzeugt geschichtete Risiken, die bei der Standardbereitstellung möglicherweise nicht sofort erkennbar sind. Organisationen, die Vertex AI nutzen, sollten Berechtigungsgrenzen prüfen, wo möglich benutzerdefinierte Dienstkonten einsetzen, OAuth-Scopes einschränken und Sicherheitsvalidierungen vor der Produktionsnutzung durchführen.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de