في تقرير حديث صادر عن وحدة Unit 42 التابعة لشركة Palo Alto Networks، تم الكشف عن ثغرة خطيرة في مكتبة Google Cloud Vertex AI SDK for Python سمحت للمهاجمين بالاستيلاء على عمليات رفع النماذج الخاصة بالذكاء الاصطناعي عبر تقنية تُعرف باسم Bucket Squatting. هذه الثغرة، التي أُطلق عليها اسم Pickle in the Middle، أتاحت تنفيذ تعليمات برمجية خبيثة داخل بنية الاستضافة الخاصة بجوجل دون الحاجة إلى بيانات اعتماد أو هجمات تصيّد.
آلية الهجوم
المشكلة كانت في طريقة اختيار الـ SDK لحاويات التخزين المؤقتة عند رفع النماذج. إذا لم يحدد المطوّر حاوية خاصة، يقوم النظام بإنشاء اسم متوقع.
وبما أن أسماء الحاويات في Google Cloud فريدة عالميًا، يمكن للمهاجم إنشاء الحاوية أولًا في مشروعه الخاص. عندها، تُرفع ملفات النموذج إلى حاوية المهاجم بدلًا من حاوية الضحية، مما يتيح له استبدال النموذج بآخر خبيث.
خطر ملفات Pickle
الكثير من نماذج بايثون تُحفظ باستخدام pickle أو joblib، وهما تقنيتان يمكنهما تنفيذ تعليمات برمجية عند تحميل الملف. هذا يعني أن أي نموذج خبيث يتم رفعه سيُنفذ أوامر المهاجم مباشرة داخل حاوية الاستضافة.
في التجارب، تمكن الباحثون من استبدال النموذج خلال 1.4 ثانية فقط، قبل أن يقوم Vertex AI بقراءته، مما سمح بسرقة رموز OAuth والوصول إلى بيانات حساسة مثل نماذج TensorFlow، بيانات BigQuery، وسجلات GKE.
شروط الاستغلال
الهجوم لم يكن ممكنًا إلا في حالتين:
- أن الحاوية الافتراضية لم تكن موجودة مسبقًا في المنطقة.
- أن المطوّر لم يحدد قيمة staging_bucket يدويًا..
وهذا شائع في المشاريع الجديدة التي تعتمد على الإعدادات الافتراضية.
إجراءات جوجل
أبلغت Unit 42 عن الثغرة في مارس 2026، وجوجل أصدرت إصلاحًا أوليًا في الإصدار v1.144.0 عبر إضافة معرف UUID عشوائي لأسماء الحاويات. ثم أتمت الإصلاح في v1.148.0 عبر التحقق من ملكية الحاوية لمنع الاستيلاء عليها.
حتى الآن، لم يُسجل استغلال فعلي لهذه الثغرة، لكنها تبرز خطورة الاعتماد على أسماء متوقعة في البنى السحابية.
