Die Analyse von Palo Alto Networks konzentrierte sich auf die Vertex Agent Engine und das Agent Development Kit (ADK), mit denen Entwickler KI-Agenten auf der Plattform von Google Cloud erstellen und betreiben. Die Forscher zeigten, dass sich diese Agenten von Angreifern übernehmen und in „Doppelagenten" verwandeln lassen.
Kern des Problems ist der Per-Project, Per-Product Service Agent (P4SA), ein Dienstkonto, das mit dem vom Nutzer bereitgestellten KI-Agenten verknüpft ist. Solche Dienstkonten ermöglichen es Diensten der Google Cloud Platform (GCP), auf Ressourcen zuzugreifen. Nach Darstellung von Palo Alto Networks verfügt der P4SA standardmäßig über zu weitreichende Berechtigungen. Diese ließen sich missbrauchen, um an die Anmeldedaten eines GCP-Dienstkontos zu gelangen und damit aus dem Ausführungskontext des KI-Agenten heraus in das Projekt des Eigentümers und den zugehörigen Datenspeicher zu wechseln.
„Dieser Zugriffsgrad stellt ein erhebliches Sicherheitsrisiko dar und verwandelt den KI-Agenten von einem hilfreichen Werkzeug in eine Bedrohung von innen", erklärten die Forscher.
Darüber hinaus zeigten sie, wie sich mit den kompromittierten P4SA-Anmeldedaten uneingeschränkter Zugriff auf das Google-Projekt erlangen lässt, das Vertex AI hostet. Auf diesem Weg konnten die Forscher Container-Images aus privaten Repositories herunterladen. „Diese Images bilden den Kern der Vertex AI Reasoning Engine. Der Zugriff auf diesen proprietären Code legt nicht nur das geistige Eigentum von Google offen, sondern liefert einem Angreifer auch eine Vorlage, um weitere Schwachstellen zu finden", so die Forscher.
Die kompromittierten Anmeldedaten erlaubten zudem den Zugriff auf eingeschränkte Repositories der Artifact Registry mit weiteren, für Angreifer nützlichen Images sowie auf Google-Cloud-Storage-Buckets mit potenziell sensiblen Informationen. Außerdem stießen die Forscher auf eine Datei, die sich für eine Remote-Code-Ausführung innerhalb der Agentenumgebung manipulieren lassen könnte – ein Ansatzpunkt für eine dauerhafte Backdoor.
Palo Alto Networks meldete die Erkenntnisse an Google. Der Konzern reagierte zunächst, indem er seine Dokumentation überarbeitete und auf die möglichen Risiken hinweist. Zusätzlich empfiehlt Google den Einsatz von Bring Your Own Service Account (BYOSA), um die Agent Engine abzusichern und eine Ausführung nach dem Prinzip der minimalen Rechtevergabe zu erzwingen: Der Agent erhält dabei nur jene Berechtigungen, die er zum Funktionieren benötigt. Nach Angaben von Google sind zudem starke, nicht außer Kraft setzbare Kontrollen vorhanden, die verhindern, dass Dienstkonten Produktions-Images verändern.
