Das Sicherheitsrisiko betrifft die sogenannte Per-Project, Per-Product Service Agent (P4SA) – einen standardmäßigen Service-Account, der automatisch mit jedem bereitgestellten Vertex-AI-Agenten verbunden ist. Die Palo-Alto-Forscher zeigten in ihrer Proof-of-Concept-Attacke, wie ein Angreifer diesen Account kompromittieren und die darin gespeicherten Zugriffstoken extrahieren kann. Mit diesen Credentials ließe sich nicht nur auf sensitive Bereiche der Cloud-Umgebung des Kunden zugreifen, sondern auch proprietäre Container-Images aus Googles eigener Infrastruktur herunterladen. Noch beängstigender: Die Standard-Berechtigungen könnten sich bis in die Google-Workspace-Umgebung erstrecken – einschließlich Gmail, Google Calendar und Google Drive.
“Dieses Ausmaß an Zugriff verwandelt den KI-Agenten von einem hilfreichen Werkzeug in eine interne Bedrohung”, schrieb Palo-Alto-Forscher Ofir Shaty in seinem Bericht. Die Entdeckung offenbart ein grundlegendes Paradoxon: Je breiter die Berechtigungen eines Agenten ausfallen, desto effektiver kann er Aufgaben erfüllen – aber desto gefährlicher wird er im Fall eines Missbrauchs.
Google reagierte prompt auf die Offenlegung. Das Unternehmen aktualisierte seine offizielle Dokumentation und empfiehlt nun explizit die Implementierung des Bring-Your-Own-Service-Account-Ansatzes (BYOSA). Dieser ermöglicht es Organisationen, das Least-Privilege-Prinzip durchzusetzen und Agenten nur die absolut notwendigen Berechtigungen zu gewähren. Eine Google-Sprecherin betonte: “Ein wichtiges Best-Practice für die Sicherung von Agent Engine ist die Verwendung eines eigenen Service-Accounts mit minimal erforderlichen Rechten.”
Für deutsche Unternehmen stellt diese Problematik eine wichtige Herausforderung dar. Besonders in Branchen wie Finanzwesen, Gesundheitswesen und Industrie, wo KI-Agenten zunehmend in kritische Prozesse integriert werden, können Sicherheitslücken dieser Art erhebliche Konsequenzen haben – nicht nur für die Datensicherheit, sondern auch für die Einhaltung regulatorischer Anforderungen wie der DSGVO.
Ian Swanson, VP of AI Security bei Palo Alto Networks, bringt es auf den Punkt: “Agenten markieren einen Paradigmenwechsel von KI, die spricht, zu KI, die handelt.” Das bedeutet, dass die Sicherheitsrisiken sich fundamental verändern. Nicht mehr nur Datenlecks sind die Gefahr – sondern auch unbefugte Handlungen durch die Agenten selbst. Security-Teams müssen KI-Agenten in ihren Umgebungen identifizieren, vor dem Einsatz bewerten und während der Laufzeit schützen können. Die Empfehlung lautet klar: Keine Sicherheit ohne Sicherheit der KI selbst.