كشفت وحدة Unit 42 التابعة لشركة Palo Alto Networks عن ثغرة أمنية خطيرة في منصة Vertex AI التابعة لـ Google Cloud، يمكن أن تسمح باستغلال وكلاء الذكاء الاصطناعي وتحويلهم إلى أدوات هجومية قادرة على الوصول غير المصرح به إلى بيانات حساسة وتهديد بيئات المؤسسات السحابية.
مشكلة في نموذج الصلاحيات
المشكلة تتعلق بكيفية إدارة صلاحيات الخدمة الافتراضية في Vertex AI، حيث يتم منح وكيل الخدمة الافتراضي P4SA صلاحيات واسعة بشكل مبالغ فيه. هذا يفتح الباب أمام سيناريو يتمكن فيه المهاجم من استغلال هذه الصلاحيات لاستخراج بيانات اعتماد الوكيل وتنفيذ إجراءات باسمه، مما يحول الوكيل إلى “وكيل مزدوج” يخدم غرضه الظاهري بينما يقوم بسرقة البيانات أو إنشاء أبواب خلفية.
الوصول إلى بيانات Google Cloud
أظهرت الأبحاث أن استدعاء الوكيل عبر Agent Engine يؤدي إلى كشف بيانات اعتماد الوكيل، وهو ما يسمح بالقفز من سياق تنفيذ الوكيل إلى مشروع العميل على Google Cloud. هذا يتيح للمهاجمين الوصول غير المقيد إلى جميع بيانات التخزين السحابي (Cloud Storage Buckets) داخل المشروع، وهو ما يمثل تهديدًا كبيرًا لسرية البيانات.
كشف مستودعات خاصة وبيانات داخلية
الأخطر أن بيانات اعتماد P4SA سمحت أيضًا بالوصول إلى مستودعات خاصة في Artifact Registry تابعة لـ Google، بما في ذلك صور حاويات خاصة تشكل جزءًا من محرك Vertex AI. هذا يعني أن المهاجم يمكنه تنزيل الشيفرات الخاصة بجوجل، مما يعرض الملكية الفكرية للخطر ويمنحه مخططًا لاكتشاف ثغرات إضافية في البنية التحتية.
استجابة جوجل وتوصيات أمنية
قامت Google بتحديث وثائقها الرسمية لتوضيح كيفية استخدام Vertex AI للموارد والحسابات والوكلاء، وأوصت العملاء باستخدام خيار Bring Your Own Service Account (BYOSA) بدلًا من الاعتماد على الوكيل الافتراضي، مع تطبيق مبدأ أقل الصلاحيات (PoLP) لضمان أن الوكيل يمتلك فقط الصلاحيات اللازمة لأداء مهامه.
الباحثون شددوا على أن منح صلاحيات واسعة للوكلاء بشكل افتراضي يُعد خطأً خطيرًا في التصميم، وأن المؤسسات يجب أن تتعامل مع نشر وكلاء الذكاء الاصطناعي بنفس الصرامة التي تتعامل بها مع نشر أي كود إنتاجي جديد، بما يشمل مراجعة حدود الصلاحيات، تقييد نطاقات OAuth، والتحقق من سلامة المصدر قبل الإطلاق.
