Die Cloud-Computing-Sicherheit gerät zunehmend in den Fokus von Cybersicherheitsexperten. Ein aktueller Fall zeigt, wie schnell sich neue Technologien zu Sicherheitsrisiken entwickeln können: Palo Alto Networks hat Details einer umfassenden Analyse von Googles Vertex AI veröffentlicht, die erhebliche Sicherheitslücken in der KI-Agent-Plattform offenbart.
Die Vertex Agent Engine und das Agent Development Kit (ADK) ermöglichen Entwicklern, KI-Agenten zu erstellen, bereitzustellen, zu verwalten und zu skalieren. Genau hier setzten die Forscher an und demonstrierten, wie diese Agenten von Angreifern zu “Double Agents” verwandelt werden könnten – zu Werkzeugen für Datendiebstahl, Backdoor-Installation und Infrastruktur-Kompromittierung.
Das Berechtigungsproblem im Zentrum der Schwachstelle
Das Kernproblem liegt bei der P4SA (Per-Project, Per-Product Service Agent), einer Service-Account-Funktion, die standardmäßig mit exzessiven Berechtigungen konfiguriert ist. Diese Agenten erhalten mehr Zugriffsrechte als notwendig. Die Forscher zeigten, dass Angreifer diese Berechtigungen missbrauchen könnten, um die Anmeldedaten des Service-Agenten zu stehlen und vom Agenten-Kontext in das Projekt des Eigentümers zu gelangen – inklusive Zugriff auf Datenspeicher.
“Dieser Zugriff macht den KI-Agenten zur Insider-Bedrohung”, erklärten die Palo-Alto-Forscher. Ein Angreifer könnte kompromittierte P4SA-Credentials nutzen, um uneingeschränkten Zugriff auf das Google-Projekt zu erlangen, private Container-Images herunterzuladen und auf das Reasoning Engine der Vertex AI zuzugreifen – was Googles proprietären Code und potenzielle weitere Sicherheitslücken offenbaren würde.
Darüber hinaus könnten Angreifer auf Artifact Registry und Google Cloud Storage zugreifen sowie Dateien manipulieren, um Remote-Code-Execution zu ermöglichen und persistente Backdoors zu installieren.
Googles Reaktion und Empfehlungen
Google hat die Erkenntnisse erhalten und reagiert mit aktualisierten Dokumentationen und neuen Sicherheitsempfehlungen. Die Hauptmaßnahme ist die Verwendung des “Bring Your Own Service Account” (BYOSA)-Modells, das das Prinzip der minimalen Berechtigung (Least Privilege) durchsetzt. Service-Agenten erhalten nur jene Berechtigungen, die sie tatsächlich benötigen.
Zusätzlich sind nun starke, nicht zu übergehende Kontrollen implementiert, um zu verhindern, dass Service-Agenten Produktions-Images verändern können.
Für deutsche Unternehmen, die auf Google Cloud Platform setzen, bedeutet dies: Eine Überprüfung der aktuellen Konfiguration ist dringend erforderlich. Die Balance zwischen Funktionalität und Sicherheit bleibt in der KI-Ära eine permanente Herausforderung.