Agentes de IA no Google Cloud podem expor dados internos

Pesquisadores da Unit 42, braço de inteligência de ameaças da Palo Alto Networks, descobriram que agentes de inteligência artificial implantados no Google Cloud Platform (GCP) Vertex AI podem ser transformados em “agentes duplos”, comprometendo ambientes inteiros. A vulnerabilidade foi detalhada em relatório publicado em 31 de março.

Permissões excessivas por padrão

De acordo com a análise, o Per-Project, Per-Product Service Agent (P4SA) associado aos agentes de IA possui permissões excessivas concedidas por padrão. Utilizando um agente malicioso, os pesquisadores conseguiram extrair credenciais da conta de serviço e, com elas, obter acesso irrestrito de leitura a todos os buckets do Google Cloud Storage no projeto do cliente. As permissões incluíam storage.buckets.getstorage.buckets.liststorage.objects.get e storage.objects.list.

Acesso a repositórios restritos do Google

As credenciais roubadas também concederam acesso a repositórios privados do Google, incluindo imagens de contêiner do Vertex AI Reasoning Engine. Os pesquisadores conseguiram baixar imagens restritas como us-docker.pkg[.]dev/cloud-aiplatform-private/reasoning-engine e cloud-aiplatform-private/llm-extension/reasoning-engine-py310. A configuração incorreta do Artifact Registry expôs ainda outras imagens internas, revelando o mapeamento da cadeia de suprimentos de software do Google.

Arquivo inseguro permite execução remota de código

Entre os arquivos descobertos no projeto do agente, a presença de code.pkl (formato pickle do Python) foi apontada como um risco crítico. A documentação do Python adverte que objetos pickle não são seguros para desserialização de fontes não confiáveis, podendo levar à execução remota de código arbitrário.

Escopos amplos e mitigação

Os pesquisadores identificaram que os escopos OAuth definidos por padrão no Agent Engine são excessivamente permissivos, podendo estender o acesso além do GCP para serviços do Google Workspace (Gmail, Calendar, Drive). Como medida de mitigação, o Google revisou sua documentação oficial e recomenda que organizações utilizem “Bring Your Own Service Account” (BYOSA) para substituir a conta de serviço padrão por uma personalizada com privilégios mínimos