Die Schwachstelle betrifft die Komponente Vertex AI Experiments im KI-Dienst Vertex AI von Google Cloud. Ursache ist eine vorhersehbare Namensvergabe für die genutzten Cloud-Storage-Buckets: Die Namen der Speicher-Buckets lassen sich im Voraus berechnen, statt zufällig oder eindeutig zu sein. Dadurch kann ein Angreifer einen passend benannten Bucket bereits vorab selbst anlegen, bevor der Dienst ihn erstellt – eine Technik, die als Bucket Squatting bezeichnet wird. Der so untergeschobene Speicher wird anschließend vom Dienst verwendet. Ausnutzen lässt sich das aus der Ferne und ohne Anmeldung. In der Folge kann der Angreifer über die Grenzen des eigenen Mandanten hinaus auf fremde Umgebungen übergreifen (mandantenübergreifend), dort eigenen Code zur Ausführung bringen, hinterlegte KI-Modelle entwenden sowie Modelle und Daten manipulieren bzw. vergiften. Besonders kritisch ist der mandantenübergreifende Zugriff, weil so Daten und Modelle anderer Kunden derselben Cloud-Plattform betroffen sein können.