Den Ausgangspunkt bildet das Verhalten der Plattform nach der Bereitstellung: Wird ein Vertex-Agent über die Agent Engine ausgerollt, ruft jeder Aufruf des Agenten den Metadatendienst von Google auf. Dabei werden laut Unit 42 die Anmeldedaten des Dienst-Accounts offengelegt – zusammen mit dem GCP-Projekt, das den KI-Agenten hostet, der Identität des Agenten und den Berechtigungsumfängen der Maschine, auf der er läuft.

Mit diesen gestohlenen Anmeldedaten konnten die Forscher aus dem Ausführungskontext des KI-Agenten in das Kundenprojekt wechseln. Damit seien die Isolationsgarantien praktisch ausgehebelt und ein uneingeschränkter Lesezugriff auf die Daten aller Google-Cloud-Storage-Buckets innerhalb des Projekts möglich gewesen. Dieser Zugriff verwandle den KI-Agenten von einem nützlichen Werkzeug in eine potenzielle Bedrohung von innen, so Unit 42.

Da die Vertex AI Agent Engine in einem von Google verwalteten Tenant-Projekt läuft, eröffneten die abgegriffenen Anmeldedaten zudem Zugang zu Cloud-Storage-Buckets innerhalb dieses Tenants und damit Einblicke in die interne Infrastruktur der Plattform. Allerdings fehlten den Anmeldedaten die nötigen Rechte, um auf die offengelegten Buckets tatsächlich zuzugreifen.

Weiter reichte der Zugriff bei den Artifact-Registry-Repositories: Dieselben P4SA-Anmeldedaten ermöglichten den Zugriff auf eingeschränkte, Google-eigene Repositories, die während der Bereitstellung der Agent Engine sichtbar wurden. Ein Angreifer könnte darüber Container-Images aus privaten Repositories herunterladen, die den Kern der Vertex AI Reasoning Engine bilden – nicht nur die in den Bereitstellungs-Logs aufgeführten Images, sondern auch weitere eingeschränkte Images.

Der Zugriff auf diesen proprietären Code lege nicht nur geistiges Eigentum von Google offen, sondern liefere Angreifern auch eine Vorlage, um weitere Schwachstellen zu finden, erklärt Unit 42. Über die fehlerhaft konfigurierte Artifact Registry ließe sich Googles interne Software-Lieferkette kartieren sowie veraltete oder verwundbare Images identifizieren.

Google hat seine offizielle Dokumentation inzwischen überarbeitet und erläutert nun genauer, wie Vertex AI Ressourcen, Konten und Agenten nutzt. Der Konzern empfiehlt Kunden, mit “Bring Your Own Service Account” (BYOSA) den Standard-Dienst-Account zu ersetzen und das Prinzip der minimalen Rechtevergabe durchzusetzen, sodass ein Agent nur die für seine Aufgabe nötigen Berechtigungen erhält.

“Agenten standardmäßig weitreichende Berechtigungen zu erteilen, verstößt gegen das Prinzip der minimalen Rechtevergabe und ist ein gefährlicher konzeptioneller Sicherheitsfehler”, sagte Unit-42-Forscher Ofir Shaty. Organisationen sollten die Bereitstellung von KI-Agenten mit derselben Sorgfalt behandeln wie neuen Produktivcode: Berechtigungsgrenzen prüfen, OAuth-Berechtigungsumfänge auf das Nötigste beschränken, die Integrität der Quellen kontrollieren und vor dem produktiven Einsatz gezielte Sicherheitstests durchführen.