資安研究人員揭露Google Vertex AI權限設計缺陷,可能導致雲端資料外洩
漏洞概述
Palo Alto Networks 的研究人員披露了 Google Vertex AI 平臺中的兩個關鍵漏洞,這些漏洞可能使組織面臨嚴重的安全風險。
權限提升與資料外洩風險
攻擊者可濫用自訂工作權限來提升權限,並使用惡意模型作為特洛伊木馬來外洩專屬資料,導致企業核心資料外洩。
相關技術細節
- 存在「Double Agent」權限設計缺陷,可能導致權限劫持(hijacking)。
- Vertex AI Experiments 存在可預測的 bucket 命名相關安全漏洞,影響版本為 1.21.0 至 1.133.0(不含 1.133.0)。
- 漏洞統稱為「ModeLeak」,可能導致權限提升及模型資料外洩。
Google 的回應
Google 已針對服務代理的權限分配機制進行修正,以應對此類安全風險。