Giriş
Google Cloud’un Vertex AI platformunda ortaya çıkan güvenlik açığı, siber güvenlik araştırmacıları tarafından keşfedildi. Bu açık, yapay zeka (AI) ajanlarının kötü niyetli kişiler tarafından silahlandırılarak hassas verilere yetkisiz erişim sağlanması riskini gündeme getiriyor.
Saldırı Nasıl Çalışıyor?
Palo Alto Networks’ün Unit 42 ekibi, Vertex AI’nın izin modelinin yanlış yapılandırılabilir olduğunu ve bunun service agentların gereğinden fazla izin vermesiyle ilgili olduğunu belirtti. Yanlış yapılandırılmış veya ele geçirilmiş bir ajan, ‘çift ajan’ gibi davranarak, kuruluşun kritik sistemlerine arka kapılar açabilirken, aynı zamanda hassas verileri de dışarı sızdırabilir.
Bu bağlamda, Vertex AI’ın Ajan Geliştirme Kiti (ADK) kullanılarak oluşturulan bir AI ajanının bağlantılı olduğu Per-Proje, Per-Ürün Servis Ajanı (P4SA), varsayılan olarak fazla izinler alıyor. P4SA’nın bu aşırı izinleri, bir hizmet ajanının kimlik bilgilerini ele geçirip onun adına işlem yapmaya olanak tanır.
Etkilenen Sistemler
Vertex ajanı, Agent Engine üzerinden dağıtıldıktan sonra, herhangi bir istek Google’ın metadata servisini tetikleyerek servis ajanının kimlik bilgilerini ifşa ediyor. Bu durum, Google Cloud Platform (GCP) projesini, AI ajanının kimliğini ve makinenin yetki alanlarını açığa çıkartıyor. Unit 42, bu kimlik bilgilerini kullanarak AI ajanının çalıştırıldığı ortamdan müşteri projesine geçiş yapmayı başardı, bu da izolasyon garantilerini aşarak tüm Google Cloud Storage haznelerine yetkisiz erişim sağladı.
Çözüm ve Korunma
Unit 42, erişim seviyesinin ciddi bir güvenlik riski oluşturduğunu vurgulayarak, AI ajanının faydalı bir araç olmaktan potansiyel bir iç tehdit haline gelebileceğini belirtti. Google, bu güvenlik açığını gidererek, resmi belgelerini güncelledi ve müşterilere Bring Your Own Service Account (BYOSA) kullanımını önerdi. Ayrıca, en az ayrıcalık ilkesinin (PoLP) uygulanmasını ve aracın yalnızca gerekli izinlere sahip olmasını tavsiye etti.
Önemli noktalardan biri, kötü yapılandırılmış Artifact Registry’nin, erişim kontrol yönetiminde daha fazla sorunu ortaya koymasıdır. Bir saldırgan, bu görünürlüğü kullanarak Google’ın iç yazılım tedarik zincirini haritalayabilir ve daha fazla saldırı planlayabilir.
Sonuç
Kuruluşlar, AI ajanlarının dağıtımını yeni üretim kodlarıyla aynı titizlikle ele almalıdır. İzin sınırlarını doğrulamak, OAuth yetki alanlarını en az ayrıcalık ilkesi ile kısıtlamak, kaynak bütünlüğünü incelemek ve kontrollü güvenlik testleri yapmak şarttır. Hemen güncellemelerinizi yapın ve varsayılan servis ajanınızı değiştirin. Portların kapatılması ve gereksiz izinlerin iptali de önerilmektedir.
