網路安全研究人員揭露了谷歌雲 Vertex AI 平台的一個安全“盲點”，該盲點可能使人工智慧 (AI) 代理被攻擊者利用，從而未經授權存取敏感數據並破壞組織的雲端環境。根據 Palo Alto Networks 42 號部門的說法，該問題與 Vertex AI 權限模型如何被濫用有關，即利用服務代理預設過多的權限範圍。

Unit 42 研究員 Ofir Shaty在一份與 The Hacker News 分享的報告中說道：「配置錯誤或被入侵的代理程式可以變成『雙面間諜』，表面上似乎在執行其預期任務，但實際上卻在秘密竊取敏感資料、破壞基礎設施，並在組織最關鍵的系統中創建後門。」

具體來說，這家網路安全公司發現，與使用 Vertex AI 的代理開發工具包 ( ADK ) 構建的已部署 AI 代理關聯的按項目、按產品服務代理 ( P4SA )默認被授予了過多的權限。這為一種場景打開了大門：P4SA 的預設權限可能被用於提取服務代理的憑證，並代表該代理執行操作。

透過Agent Engine部署 Vertex 代理程式後，對該代理程式的任何呼叫都會呼叫 Google 的元資料服務，並公開服務代理程式的憑證，以及託管 AI 代理程式的 Google Cloud Platform (GCP) 專案、AI 代理程式的身分和託管 AI 代理程式的機器的範圍。

Unit 42 表示，他們能夠利用被盜憑證從 AI 代理的執行上下文跳到客戶項目，有效地破壞了隔離保證，並允許不受限制地讀取該項目中所有 Google Cloud Storage 儲存桶的資料。這種程度的存取權限構成了重大的安全風險，使人工智慧代理從一個有用的工具變成了一個潛在的內部威脅。

不僅如此。由於已部署的 Vertex AI Agent Engine 運行在 Google 管理的租用戶專案中，提取的憑證還允許存取該租用戶內的 Google Cloud Storage 儲存桶，從而提供了有關該平台內部基礎架構的更多詳細資訊。然而，這些憑證被發現缺少存取已公開儲存桶所需的必要權限。

更糟的是，同樣的 P4SA 服務代理憑證還允許存取受限的、由 Google 擁有的 Artifact Registry 儲存庫，這些儲存庫是在部署代理引擎期間暴露出來的。攻擊者可以利用這種行為從構成 Vertex AI 推理引擎核心的私人儲存庫下載容器映像。

此外，洩漏的 P4SA 憑證不僅使得下載代理引擎部署期間日誌中列出的映像成為可能，而且還暴露了 Artifact Registry 儲存庫的內容，包括其他幾個受限影像。Unit 42 解釋：「取得這段專有程式碼不僅會洩漏Google的智慧財產權，還會為攻擊者提供尋找更多漏洞的藍圖。」

配置錯誤的 Artifact Registry 暴露出關鍵基礎設施存取控制管理方面的另一個缺陷。攻擊者可能會利用這種意外的可見性來繪製 Google 的內部軟體供應鏈圖，識別已棄用或存在漏洞的鏡像，並策劃進一步的攻擊。

谷歌隨後更新了官方文檔，詳細闡述了Vertex AI如何使用資源、帳號和代理。這家科技巨頭也建議客戶使用自帶服務帳號（BYOSA）來取代預設服務代理，並強制執行最小權限原則（PoLP），以確保代理僅擁有執行目前任務所需的權限。

Shaty說：「預設授予代理廣泛的權限違反了最小權限原則，從設計上來說就是一個危險的安全漏洞。企業應該像對待新的生產代碼一樣嚴格對待AI代理的部署。驗證權限邊界，將OAuth範圍限制在最小權限範圍內，審查源代碼的完整性，並在生產部署前進行受控的安全測試。」

資料來源：https://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.html