概要

Palo Alto NetworksのUnit 42は、Google Cloud Platform（GCP）のVertex AI Agent Engineに重大な脆弱性があることを発見しました。この脆弱性を利用して攻撃者は、機密データを不正に取り出す「ダブルエージェント」を展開することができます。

脆弱性の詳細

この脆弱性は、デプロイされたAIエージェントに関連するPer-Project, Per-Product Service Agent（P4SA）のデフォルトの権限スコープに起因します。攻撃者はGoogle Cloud Application Development Kit (ADK)を使用して悪意のあるAIエージェントを作成し、Pythonのpickleファイルとしてパッケージ化することができます。

この悪意のあるエージェントは、Googleの内部メタデータサービスをクエリすることでP4SA資格情報を抽出します。これらの盗まれた資格情報により、攻撃者はエージェントの隔離された環境から脱出し、高権限を持つサービスエージェントとして動作することができます。

影響

• 消費者プロジェクト：すべてのGoogle Cloud Storageバケットに対する無制限の読み取りアクセスが許可され、組織の最も機密なデータが露出する可能性があります。
• プロデューサー環境：制限されたGoogle所有のArtifact Registryリポジトリにアクセスでき、攻撃者は独自のソースコードやコンテナイメージをダウンロードすることができます。
• テナントプロジェクト：内部Dockerfileなどの機密デプロイファイルが露出し、Googleの基本インフラストラクチャマッピングも暴露される可能性があります。
• OAuth 2.0スコープ：過度に許容的なデフォルトのOAuth 2.0スコープにより、Google Workspaceデータに対する潜在的な脅威が生じます。これにはGmailやDriveなどの接続サービスも含まれます。

対策と修正

この脆弱性の責任ある開示後、GoogleはUnit 42と協力して供給チェーンとインフラストラクチャリスクを解決しました。強固な内部コントロールにより、攻撃者が生産コンテナイメージを変更することは防げますが、公式ドキュメントはリソースの使用方法とエージェントについて明確に説明されました。

組織がこの脅威から保護するためには、デフォルトのサービスエージェントを厳格なアクセス制御に置き換えることが必要です。GoogleはすべてのVertex AIデプロイメントに対してBring Your Own Service Account (BYOSA)アーキテクチャの採用を強く推奨しています。

セキュリティチームが最小権限原則を強制し、AIエージェントがタスクに必要な正確な権限のみを持つようにすることで、組織はこの脅威から保護することができます。また、AIエージェントのデプロイメントは他の生産コードと同様に扱い、セキュリティレビュー、検証された権限境界、制限付きスコープを導入することが重要です。

元記事: https://gbhackers.com/google-clouds-vertex-ai-hit-by-vulnerability/