ماذا لو كان الوكيل الذكي الذي قمت بنشره يعمل سراً ضدك؟ عيب في Vertex AI يكشف عن بيانات العملاء وبرمجيات جوجل الداخلية كأنه عميل مزدوج
تحذير من ثغرة أمنية في وكلاء Vertex AI في Google Cloud يمكن استغلالها لاختراق الأنظمة وتكوين “عملاء مزدوجين”
كشف فريق Unit 42، الذراع الأمني لشركة بالو ألتو، عن مشكلة خطيرة تتعلق بتكوينات غير صحيحة لوكلاء Vertex AI في منصة Google Cloud، مما يسمح للمهاجمين باختطافهم وتحويلهم إلى “عملاء مزدوجين” يقومون بأعمال ضارة تحت ستار الاستخدام المشروع.
مشكلة التكوينات الافتراضية المفرطة والصلاحيات الواسعة
تُعد منصة Vertex AI من Google Cloud منصة رئيسية لتطوير ونشر نماذج الذكاء الاصطناعي والتعلم الآلي، مع محرك الوكلاء الذي يحول النماذج إلى وكلاء مستقلين. ومع ذلك، تشير تقارير Unit 42 إلى أن عدم الحذر في إعدادات الأذونات يمكن أن يترك الوكلاء عرضة للاختراق.
كيف يحدث ذلك؟
- قام الباحثون بنشر وكيل ذكاء اصطناعي مخصص باستخدام أدوات Vertex AI (ADK) في بيئة محكمة.
- اكتشفوا أن حساب الخدمة الافتراضي (P4SA) الخاص بالوكيل لديه صلاحيات فائضة، مما يعرضه للخطر.
- باستخدام أداة خبيثة مخصصة، تمكنوا من استخراج بيانات اعتماد حساب الخدمة من خدمة البيانات الوصفية (metadata service).
- استغلوا تلك البيانات للتسلل إلى مشروع المستهلك، مما منحهم وصولاً غير محدود إلى جميع بيانات Cloud Storage، بالإضافة إلى بيئة الإنتاج المدارة من قبل Google.
نتائج الاختراق
تمكن الباحثون من الوصول إلى مستودعات Artifact Registry المقيدة، مما سمح لهم بتحميل صور الحاويات الخاصة، وفحص الموارد الداخلية، والكشف عن الشيفرة المصدرية وبيانات البنية التحتية الحساسة. وبهذا، لم يقتصر الأمر على سرقة الملكية الفكرية لGoogle فحسب، بل وفر للمهاجمين أيضًا خطة لاستغلال ثغرات أخرى.
“الوصول إلى هذه الشيفرة المصدرية الخاصة لا يعرض فقط الملكية الفكرية لشركة Google، بل يزود المهاجم أيضًا بمخطط للعثور على ثغرات إضافية”، أوضح الباحثون في تقريرهم.
استجابة Google والتوصيات الأمنية
ردًا على هذه الثغرة، قامت Google بتحديث توثيقاتها لشرح كيفية استخدام موارد ووكلاء Vertex AI بشكل أكثر أمانًا. كما توصي الشركة الآن العملاء باستخدام ميزة “إحضار حساب الخدمة الخاص بك” (BYOSA) بدلاً من الاعتماد على الحسابات الافتراضية، لتعزيز الأمان وتقليل المخاطر.
نصائح مهمة للأمان في Google Cloud
- مراجعة وتقييد صلاحيات حسابات الخدمة بشكل دقيق.
- تجنب استخدام الإعدادات الافتراضية غير المخصصة.
- الاستفادة من أدوات Google التي توفر تحكمًا أكثر مرونة وأمانًا عند إدارة الوكلاء والموارد.
احمِ بياناتك ومواردك السحابية من الاختراقات المحتملة عبر تكوينات آمنة واتباع أفضل الممارسات الأمنية.
📌 هذا المقال تم إعادة تحريره باستخدام الذكاء الاصطناعي مع الحفاظ على المصدر الأصلي.