Ein Team von Sicherheitsforschern hat einen blinden Bereich in Vertex AI von Google Cloud ausgesetzt, der die unmittelbare Aufmerksamkeit jedes Teams verdient, das künstliche Intelligenz Agenten in der Cloud bereitstellt. Das Problem ist kein anekdotaler Fehler: Es erlaubt einem misskonfigurierten oder kompromittierten Agenten, als "doppelten Agenten" zu fungieren, während er sein legitimes Aussehen behält, da er Anmeldeinformationen, Daten und Angriffsvektoren innerhalb der Cloud-Umgebung extrahiert.
Der Fund, veröffentlicht von Spezialisten Einheit 42 von Palo Alto Networks, weist auf das Berechtigungsmodell hin, dass Google auf Agenten mit Vertex AI, insbesondere auf den sogenannten "Per-Project, Per-Product Service Agent" (P4SA) Service, Anwendung findet. Standardmäßig erhält dieser Agent recht umfangreiche Berechtigungen, die eine gefährliche Tür öffnet: Wenn ein Angreifer es schafft, Code auszuführen, der den Google Cloud-Metadatendienst aus dem Kontext des Agenten konsultiert, kann er zugehörige Anmeldeinformationen erhalten und von dort seitlich innerhalb des Projekts verschieben.
Technisch kann durch die Einführung eines Agenten mit Vertex AI's Agent Engine jeder Anruf, den der Agent zum Metadaten-Service macht, nicht nur den Token des Dienstes, sondern auch Informationen aus dem GCP-Projekt, das den Agenten beherbergt, die Identität des Agenten selbst und die Reichweiten des Hosts, wo es läuft. Mit diesen Anmeldeinformationen gelang es den Forschern, vom isolierten Kontext des Agenten auf die Ressourcen des Kundenprojekts zu springen. In der Praxis bedeutete dies einen uneingeschränkten Lesezugriff auf Daten, die in diesem Projekt in Google Cloud Storage gespeichert wurden, wodurch ein Werkzeug zur Unterstützung eines Insiderrisikos geschaffen wurde.
Die Exposition war nicht auf das Projekt des Kunden beschränkt. Da die Agent Engine innerhalb von Google-managed tenant Projekten arbeiten kann, zeigten die Anmeldeinformationen auch Metadaten und Hinweise auf Buckets, die Teil der internen Infrastruktur der Plattform sind. Obwohl in einigen Fällen solche Anmeldeinformationen nicht die Erlaubnis haben, diese Eimer direkt herunterzuladen, erlaubten sie die Entdeckung geschützter Routen und Repositories.
Eine besonders besorgniserregende Folge war der Zugang zu privaten Artefakt-Registrygeräten, die während des Einsatzes der Agent Engine in den Logs aufgenommen wurden. Mit dieser Sicht könnte ein Angreifer Containerbilder herunterladen, die Teil des Kerns der Vertex AI-Gründer-Engine sind, und bis sie Zugang zu den Inhalten anderer privater Repositories erhalten. Der Zugang zu diesem proprietären Code beinhaltet nicht nur den Verlust von geistigem Eigentum, sondern erleichtert auch den Angreifer, die Software-Lieferkette der Plattform zu ordnen und veraltete oder verletzliche Bilder für eine spätere Ausbeutung zu finden.
Google hat durch die Aktualisierung seiner offiziellen Dokumentation, um deutlicher zu erklären, wie Vertex AI Konten, Ressourcen und Agenten verwendet, und zeigt Maßnahmen, die Kunden anwenden sollten. Zu den Empfehlungen gehören der Ersatz des Standard-Agenten durch ein Selbstbedienungskonto (Bring Your Own Service Account, BYOSA) und die strikte Anwendung des Prinzips des geringeren Privilegs, so dass der Agent nur die notwendigen Fähigkeiten für seine Aufgabe hat. Details zu Agenten und Motoren finden Sie in der Vertex AI-Dokumentation, und der IAM-Guide bietet die Richtlinien für die Begrenzung von Berechtigungen und Reichweiten: Vertex AI - Agenten und Gute IAM-Praktiken in Google Cloud.
Aus betrieblicher Sicherheitsperspektive bietet dieser Fall klare Lektionen. Die erste ist, dass es nicht genug ist, einen IA-Agenten als harmloses Objekt zu behandeln: Sein Einsatz muss den gleichen Kontrollen unterliegen wie jeder neue Mikroservice oder Anwendung in der Produktion. Limit OAuth-Bereiche, Audit-Interaktionen mit Metadaten, Überprüfung der Berechtigungen, die Dienstkonten zugewiesen werden, und Prüfung des Verhaltens des Agenten unter kontrollierten Bedingungen sind unverzichtbare Schritte, bevor ein Agent der Produktion.
Eine weitere praktische Empfehlung ist die Nutzung von Servicekonten, die vom Team selbst verwaltet werden, die mit minimalen Berechtigungen und Schlüsseldrehungen konfiguriert sind; dies vermeidet es, sich auf Agenten mit zu großen Privilegien standardmäßig zu verlassen. Es ist auch ratsam, die ungewöhnlichen Verwendungen von Methadata und Massenleseblöcken in Cloud Storage oder den Zugriff auf private Repositories, die nicht gerechtfertigt sind, zu überwachen und zu alarmieren.
Dieser Vorfall unterstreicht auch die Bedeutung des Schutzes der Software-Versorgungskette in Cloud-Umgebungen. Der Zugang zu Container-Bildern und privaten Artefakten kann einem Angreifer als Flugzeug dienen, um die Umwelt zu reproduzieren, Fehler zu suchen und tiefere Angriffe vorzubereiten. Artifact Registry Dokumentation und strengere Zugriffskontrollen können einige dieses Risikos mildern: Artifact Registry - Dokumentation.
Kurz gesagt, das Aussehen dieses Vektors zeigt, dass die Sicherheit in der A-era in der Cloud nicht nur eine Frage von Modellen und Daten ist: es hängt auch davon ab, wie Identitäten, Berechtigungen und Bereitstellungen verwaltet werden. Die Empfehlungen der Forscher lassen sich in einer praktischen Beratung für Sicherheits- und Betriebsteams zusammenfassen: Behandeln Sie jeden Agenten, als wäre es eine neue Produktionsinfrastruktur, prüfen Sie ihre Genehmigungen und entfernen Sie alle Privilegien, die nicht notwendig sind.
Wenn Sie den technischen Bericht und die ursprüngliche Forschung vertiefen möchten, ist die Analyse der Experten im Internet verfügbar. Einheit 42, und es ist eine gute Idee, die offizielle Dokumentation von Google Cloud über Agenten und Identitätsmanagement zu überprüfen, um die empfohlene Minderung anzuwenden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...