SchwachstellenCloud-SicherheitKI-Sicherheit

Kritische Sicherheitslücke in Googles Vertex AI: KI-Agenten als Trojaner missbraucht

Kritische Sicherheitslücke in Googles Vertex AI: KI-Agenten als Trojaner missbraucht
Zusammenfassung

Eine kritische Sicherheitslücke in Googles Vertex AI-Plattform gefährdet die Daten und Cloud-Infrastruktur von Organisationen weltweit. Cybersicherheitsforscher von Palo Alto Networks Unit 42 haben aufgedeckt, dass die Standard-Berechtigungsstruktur der Plattform es Angreifern ermöglicht, künstliche Intelligenz-Agenten zu kompromittieren und diese in „Spionage-Agenten" umzuwandeln. Das Problem liegt in übermäßig großzügigen Standard-Berechtigungen des Service Agents, durch die sensible Anmeldedaten exponiert werden und Angreifer Zugriff auf Google Cloud Storage, private Container-Images und sogar Googles interne Artifact Registry erhalten können. Betroffen sind alle Organisationen, die Vertex AI Agents über das Agent Development Kit bereitstellen. Für deutsche Unternehmen und Behörden, die Google Cloud-Services nutzen, ist dies besonders relevant: Besonders im Finanz-, Gesundheits- und öffentlichen Sektor könnten kritische Daten gefährdet sein. Die Schwachstelle ermöglicht potenziell den Zugriff auf vertrauliche Informationen, die Kompromittierung von Infrastruktur und das Einrichten von Hintertüren. Google hat zwar Dokumentation aktualisiert und Mitigationsmaßnahmen empfohlen, doch sollten deutsche Organisationen unverzüglich ihre Vertex AI-Deployments überprüfen und das Prinzip der minimalen Berechtigung durchsetzen.

Die Cybersicherheit-Abteilung Unit 42 von Palo Alto Networks hat eine kritische Sicherheitslücke in Googles Vertex AI identifiziert, die das Potenzial zur Kompromittierung ganzer Cloud-Umgebungen birgt. Das Kernproblem liegt in der Standardkonfiguration der sogenannten Per-Project, Per-Product Service Agent (P4SA), die KI-Agenten automatisch mit viel zu breiten Berechtigungen ausstattet.

Wenn ein Vertex-AI-Agent über das Agent Development Kit (ADK) bereitgestellt wird, können Angreifer die Zugriffsrechte missbrauchen. Forscher zeigten, dass sich die Anmeldedaten des Service-Agenten auslesen lassen, wenn dieser aufgerufen wird. Mit diesen gestohlenen Credentials konnten sie uneingeschränkt auf alle Google Cloud Storage Buckets im betroffenen Projekt zugreifen – eine Isolation wurde damit vollständig aufgehoben.

Besonders brisant ist ein weiterer Aspekt: Die kompromittierten Anmeldedaten gewährten auch Zugang zu privaten Artifact Registry Repositories von Google selbst. Dies ermöglichte den Forschern, Container-Images aus eingeschränkten Repositories herunterzuladen, die das Herzstück der Vertex AI Reasoning Engine darstellen. Mit Zugriff auf diesen proprietären Code könnten Angreifer nicht nur Googles geistiges Eigentum kopieren, sondern auch weitere Schwachstellen in der internen Software-Supply-Chain identifizieren.

Ofir Shaty, Forscher bei Unit 42, warnt drastisch: Ein fehlkonfigurierter oder kompromittierter Agent könne zur Insider-Bedrohung mutieren und Backdoors in kritischste Systeme öffnen. Das Prinzip der minimalen Rechte (Principle of Least Privilege) wird hier massiv verletzt.

Google hat inzwischen reagiert und die offizielle Dokumentation aktualisiert. Das Unternehmen empfiehlt Kunden dringend, eigene Service-Accounts zu verwenden (Bring Your Own Service Account - BYOSA) statt der unsicheren Defaults. Außerdem sollten Organisationen KI-Agent-Deployments mit der gleichen Sorgfalt behandeln wie Production-Code und regelmäßige Sicherheitstests durchführen.

Für deutsche Unternehmen, die Vertex AI nutzen, bedeutet dies: Unmittelbares Handeln ist erforderlich. Die aktuellen Default-Einstellungen genügen nicht den Standards angemessener Informationssicherheit und könnten zu Datenschutzverletzungen gemäß DSGVO führen.

Ähnliche Artikel