Vulnerabilidade no Vertex AI permite escalada via Service Agents | Cloud

Pesquisadores da XM Cyber demonstraram dois vetores em Vertex AI que permitem que usuários de baixa privilégio escalem para Service Agent roles, usando tool injection e acesso ao shell de head node em Ray. O ataque explora leitura de metadados para extrair tokens e acessar GCS, BigQuery e memórias de LLM. Recomendações: restringir roles, desabilitar shells interativos e monitorar acessos a metadados.

Pesquisadores da XM Cyber relataram dois vetores em Vertex AI que permitem a usuários de baixa privilégio escalar acessos ao comprometer Service Agent roles, segundo apuração do Cyber Security News.

Resumo técnico

As duas cadeias descritas atingem Service Agents usados pelo Vertex AI: o Reasoning Engine Service Agent e o Custom Code Service Agent (usado por Ray on Vertex AI). Em ambos os casos, permissões inicialmente de leitura podem levar a execução remota de código (RCE) e à extração de tokens via metadados da instância, concedendo acesso a GCS, BigQuery e dados de sessões/LLMs.

Vetor 1 — Agent Engine (tool injection)

O fluxo inicia quando um usuário com permissão aiplatform.reasoningEngines.update coloca código (por exemplo, um "tool" empacotado) em buckets usados pelo Agent Development Kit (ADK). Uma consulta que dispara esse "tool" pode executar código na instância de reasoning engine. Em seguida, o atacante consulta os metadados da instância para obter o token do Reasoning Engine Service Agent (service-<project>@gcp-sa-aiplatform-re.iam.gserviceaccount.com) e usa essas credenciais para acessar memórias, logs e buckets mencionados no relatório.

Vetor 2 — Ray on Vertex AI (viewer to root)

Clusters Ray anexam automaticamente o Custom Code Service Agent ao head node. Usuários com permissões de visualização em recursos persistentes (aiplatform.persistentResources.get/list) veem no console o link para o "Head node interactive shell"; a execução a partir desse shell fornece root no head node, permitindo extrair o token do Service Agent via metadados e obter leitura/gravação em GCS e BigQuery.

Impacto observado

Exfiltração de dados armazenados em buckets e possível leitura de memórias e chats de LLMs.
Elevação de privilégios de um ator com permissões de baixo nível para ações com escopo de projeto.

Mitigações e recomendações

O relatório reproduzido no artigo sugere ações práticas: reduzir permissões padrão de Service Agents (usar roles customizados com menor privilégio), desabilitar shells interativos em head nodes de Ray, validar código enviado a agentes antes do deploy e monitorar acessos a metadados. Além disso, é recomendada a detecção via Security Command Center — Agent Engine Threat Detection — que sinaliza RCE e leituras suspeitas de metadados.

O que falta e notas de contexto

O material disponível no Cyber Security News se baseia em descobertas da XM Cyber e descreve as evidências de exploração em ambiente de teste. Não há, no texto consultado, informação sobre exploração ativa generalizada em produção, contingências de incidentes reportadas por clientes Google nem atualização de mitigação formal publicada pelo time do Vertex AI no mesmo artigo. Google foi citado implicitamente como mantendo o comportamento "working as intended" segundo a apuração, mas o post não inclui um comunicado oficial direto da Google. Para cenários de risco operacional, empresas devem assumir que os padrões de configuração descritos representam superfícies de ataque até que permissões e controles sejam revisados.