聚焦源代码安全网罗国内外最新资讯编译代码卫士网络安全研究人员披露称谷歌云 Vertex AI 平台中存在一个安全“盲点”可使攻击者将人工智能代理武器化从而未经授权访问敏感数据并危及组织机构的云环境安全。Palo Alto Networks 公司团队Unit 42称该漏洞涉及如何针对 Vertex AI 权限模型中服务代理默认权限范围过大的特点实施滥用。Unit 42 团队的研究员 Ofir Shaty 在一份相关报告中表示“配置错误或被攻陷的代理可能成为‘双重间谍’表面上在执行其预期功能暗地里却在窃取敏感数据、破坏基础设施并在组织机构最关键系统中创建后门。”具体而言研究人员发现与使用 Vertex AI 的 Agent Development KitADK构建的已部署 AI 代理相关联的“按项目、按产品服务代理”P4SA在默认情况下被授予了过多权限。这为一种场景打开了大门即利用 P4SA 的默认权限来提取服务代理的凭据并以其名义执行操作。在通过 Agent Engine 部署 Vertex 代理后对该代理的任何调用都会调用谷歌的元数据服务并暴露服务代理的凭证以及托管 AI 代理的谷歌云 (GCP) 项目、AI 代理的身份和托管该 AI 代理的机器的权限范围。Unit 42 团队表示他们能够利用窃取的凭证从 AI 代理的执行上下文跳转到客户项目中从而有效打破隔离保障并允许对该项目内所有 Google Cloud Storage 存储桶的数据进行无限制的读取访问。报告指出“这种级别的访问权限构成了重大的安全风险将 AI 代理从一个有用的工具转变为一个潜在的内部威胁。”不仅如此。由于部署的 Vertex AI Agent Engine 在谷歌管理的租户项目中运行提取的凭证还授予了对该租户内 Google Cloud Storage 存储桶的访问权限从而揭示了有关该平台内部基础设施的更多细节。不过研究发现这些凭证缺乏访问这些暴露的存储桶所需的必要权限。更糟糕的是同一个 P4SA 服务代理凭证还启用了对受限制的、谷歌拥有的 Artifact Registry 仓库的访问这些仓库在 Agent Engine 部署过程中被暴露出来。攻击者可以利用此行为从构成 Vertex AI Reasoning Engine 核心的私有仓库中下载容器镜像。此外被攻陷的 P4SA 凭证不仅使得下载 Agent Engine 部署期间日志中列出的镜像成为可能还暴露了 Artifact Registry 仓库的内容其中包括其它几个受限镜像。Unit 42 团队解释称“访问这些专有代码不仅暴露了谷歌的知识产权还为攻击者提供了寻找更多漏洞的蓝图。”“Artifact Registry 的错误配置凸显了关键基础设施访问控制管理中的另一个缺陷。攻击者可能利用这种非预期的可见性来绘制谷歌内部软件供应链的地图识别已弃用或存在漏洞的镜像并策划进一步的攻击。”此后谷歌已更新官方文档明确说明了 Vertex AI 如何使用资源、账户和代理。另外还建议客户使用“使用自己的服务账户”BYOSA来替换默认的服务代理并执行最小权限原则以确保代理仅拥有执行当前任务所需的权限。Shaty 表示“默认授予代理广泛的权限违反了最小权限原则是一种危险的设计级安全缺陷。组织应以与处理新生产代码相同的严谨态度对待 AI 代理的部署。在生产环境上线前应验证权限边界将 OAuth 范围限制为最小权限审查源完整性并进行受控的安全测试。”开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读OpenAI 发布AI安全漏洞奖励计划日增百万行代码温氏股份如何依托AI筑牢开发安全防线简单的自定义字体渲染即可投毒 ChatGPT、Claude、Gemini 等 AI 系统微软AI已用于攻击的每个阶段AI 编程助手 Cline CLI 2.3.0遭篡改悄悄安装 OpenClaw原文链接https://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.html题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~