Investigadores de seguridad de Palo Alto Networks han descubierto una vulnerabilidad crítica en la plataforma Vertex AI de Google Cloud que puede transformar a un agente de inteligencia artificial en un actor con acceso desproporcionado dentro de un entorno corporativo.
Según el equipo de Unit 42, bajo las configuraciones predeterminadas, los agentes de IA pueden recibir privilegios mucho más amplios de los necesarios. Esto significa que, si son comprometidos, pueden operar como doble agente con la capacidad de consultar, acceder y extraer información sensible sin restricciones.
Permisos Excesivos Abren la Puerta a Ataques
La falla se origina en los permisos excesivos asignados por defecto al servicio Per‑Project, Per‑Product Service Agent (P4SA) de Vertex AI. Esto permite que un solo agente mal configurado o manipulado se convierta en un punto de acceso privilegiado dentro del proyecto de nube afectado.
Los investigadores demostraron que un atacante que comprometa a uno de estos agentes puede obtener lectura irrestricta de todos los datos almacenados en los Google Cloud Storage Buckets del proyecto. Esta exposición incluye información empresarial sensible y otros recursos operativos que deberían estar protegidos por controles de acceso más estrictos.
Riesgos Adicionales en la Cadena de Suministro de IA
Además, el equipo de expertos logró acceder a repositorios internos de Artifact Registry de Google, desde los cuales fue posible descargar imágenes de contenedores que forman parte del Vertex AI Reasoning Engine. Esto reveló detalles internos de infraestructura y componentes clave utilizados por la plataforma, elevando el riesgo a escenarios de ataque más complejos relacionados con la cadena de suministro de IA.
Permisos OAuth 2.0 Predeterminados Amplían el Alcance del Ataque
Los investigadores también identificaron permisos OAuth 2.0 predeterminados, demasiado amplios y no modificables, que suponen un riesgo adicional. En ciertas condiciones, estas autorizaciones podrían incluso extender el alcance del ataque a servicios de Workspace como Gmail o Drive, según el contexto del agente atacado.
Llamado a Revisar Permisos y Configuraciones de Agentes de IA
Tras compartir los detalles de su investigación con Google, la compañía actualizó su documentación oficial para describir con mayor claridad cómo Vertex AI utiliza recursos, cuentas y agentes, brindando mayor transparencia a las organizaciones sobre su funcionamiento y modelo de permisos.
Los expertos advierten que, ante la creciente adopción de agentes autónomos, las empresas deben revisar con especial cuidado los niveles de acceso a estas herramientas. La autonomía y velocidad con las que operan significan que un permiso mal definido puede convertirse en una brecha significativa, capaz de escalar rápidamente y comprometer información crítica.
