Investigadores de seguridad de Palo Alto Networks han descubierto una vulnerabilidad crítica en Google Cloud Vertex AI que podría permitir a agentes de inteligencia artificial (IA) acceder sin restricciones a datos empresariales sensibles. Según el equipo de Unit 42, esta falla se origina en los permisos excesivos asignados por defecto al servicio Per‑Project, Per‑Product Service Agent (P4SA) de Vertex AI.
Bajo estas configuraciones predeterminadas, los agentes de IA pueden recibir privilegios mucho más amplios de los necesarios. Esto significa que, si un agente es comprometido, puede operar como un doble agente con la capacidad de consultar, acceder y extraer información confidencial sin restricciones dentro del entorno corporativo afectado.
Acceso Irrestricto a Datos Empresariales
La investigación de Unit 42 demostró que un atacante que logre comprometer a uno de estos agentes de IA puede obtener lectura ilimitada de todos los datos almacenados en los Google Cloud Storage Buckets del proyecto. Esta exposición incluye información empresarial sensible y otros recursos operativos que deberían estar protegidos por controles de acceso más estrictos.
Además, el equipo de expertos logró acceder a los repositorios internos de Artifact Registry de Google, desde los cuales fue posible descargar imágenes de contenedores que forman parte del Vertex AI Reasoning Engine. Esto reveló detalles sobre la infraestructura y componentes clave utilizados por la plataforma, elevando el riesgo a escenarios de ataque más complejos relacionados con la cadena de suministro de IA.
Permisos OAuth 2.0 Demasiado Amplios
Los investigadores también identificaron permisos OAuth 2.0 predeterminados, demasiado amplios y no modificables, que suponen un riesgo adicional. En ciertas condiciones, estas autorizaciones podrían incluso extender el alcance del ataque a servicios de Workspace como Gmail o Drive, según el contexto del agente atacado.
Llamado a Revisar Permisos y Configuraciones de Agentes de IA
Tras compartir los detalles de la investigación con Google, el equipo de Unit 42 advierte que, ante la creciente adopción de agentes autónomos, las organizaciones deben revisar con especial cuidado los niveles de acceso a estas herramientas. La autonomía y velocidad con las que operan significa que un permiso mal definido puede convertirse en una brecha significativa, capaz de escalar rápidamente y comprometer información crítica.
Google ha actualizado su documentación oficial para describir con mayor claridad cómo Vertex AI utiliza recursos, cuentas y agentes, brindando mayor transparencia a las organizaciones sobre su funcionamiento y modelo de permisos. Sin embargo, el llamado a la acción es claro: es crucial que las empresas revisen minuciosamente las configuraciones de sus agentes de IA para evitar que se conviertan en un punto de acceso privilegiado que ponga en riesgo sus datos más valiosos.
