Vertex AI ist eine Plattform von Google Cloud, mit der Organisationen KI-gestützte Anwendungen erstellen, bereitstellen und verwalten können. Über die enthaltene Agent Engine und ein Entwicklungskit lassen sich autonome Agenten bauen, die Datenbanken abfragen, mit APIs interagieren, Dateien verwalten und mit minimaler menschlicher Aufsicht automatisierte Entscheidungen treffen. Für solche Aufgaben erhalten die Agenten in der Regel weitreichende Zugriffsrechte – und genau diese breite Zugriffsmöglichkeit eröffnet laut Palo Alto Networks Angreifern die Chance, die Agenten zu kapern und sie zu Doppelagenten zu machen, die ihre schädliche Arbeit verrichten, während sie für die nutzende Organisation unauffällig erscheinen.

Die Forscher stießen auf das standardmäßig an jeden bereitgestellten Vertex-AI-Agenten gebundene Dienstkonto P4SA mit übermäßigen Vorgaberechten. Ein Angreifer, der die Zugangsdaten dieses Dienstkontos extrahieren kann, könnte damit auf sensible Bereiche der Cloud-Umgebung des Kunden zugreifen. Dieselben Anmeldedaten erlaubten es zudem, proprietäre Container-Images aus Googles eigener interner Infrastruktur herunterzuladen und fest hinterlegte Verweise auf interne Google-Storage-Buckets aufzuspüren – mögliche Ansatzpunkte für künftige Angriffe.

“Dieses Maß an Zugriff stellt ein erhebliches Sicherheitsrisiko dar und verwandelt den KI-Agenten von einem hilfreichen Werkzeug in eine Insider-Bedrohung”, schreibt Palo-Alto-Forscher Ofir Shaty. Die standardmäßig gesetzten Berechtigungen der Agent Engine könnten den Zugriff über die GCP-Umgebung hinaus bis in den Google Workspace einer Organisation ausdehnen, einschließlich Diensten wie Gmail, Google Calendar und Google Drive.

Um die Gefahr zu belegen, bauten die Forscher einen Proof-of-Concept-Agenten. Einmal bereitgestellt, sendet dieser eine Anfrage an Googles internen Metadatendienst, um die aktiven Zugangsdaten des darunterliegenden P4SA-Dienstkontos abzugreifen. Mit den zugehörigen Rechten brachen sie aus der Umgebung des KI-Agenten aus – sowohl in das umfassendere Google-Cloud-Projekt des Kunden als auch in Googles eigene interne Infrastruktur.

Ob sich ähnlich überzogene Standardrechte auch auf KI-Plattformen anderer großer Cloud-Anbieter finden, ließ Palo Alto gegenüber Dark Reading zunächst offen. Ian Swanson, bei dem Unternehmen für KI-Sicherheit zuständig, betont jedoch die grundsätzliche Lehre: “Agenten markieren einen Wandel der Unternehmensproduktivität – weg von KI, die spricht, hin zu KI, die handelt.” Damit gehe es nicht mehr nur um Datenabfluss, sondern auch um Agenten, die unautorisierte Aktionen ausführen. Sicherheitsteams müssten Agenten in ihren Umgebungen aufspüren, das Risiko vor der Bereitstellung bewerten und sie zur Laufzeit schützen.

Eine Google-Sprecherin verwies auf die jüngste Aktualisierung der Dokumentation als Maßnahme, um Organisationen stärker für die Berechtigungen von Agenten auf Vertex AI zu sensibilisieren. Als zentrale Empfehlung nennt sie – unter Verweis auf den Palo-Alto-Bericht – das Prinzip “Bring Your Own Service Account” (BYOSA): Damit könnten Nutzer der Agent Engine die minimale Rechtevergabe durchsetzen und einem Agenten nur die für seine Funktion nötigen Berechtigungen erteilen.