Google Vertex AI virou tema de alerta apos pesquisadores apontarem falhas graves que podem permitir que um usuario com pouca permississao ganhe acesso muito maior dentro de um projeto. Em termos simples, o problema acontece porque algumas configuracoes padrao podem abrir caminho para que contas automatizadas e muito poderosas, usadas pelo servico, sejam assumidas por alguem com acesso minimo. Segundo a noticia, o risco aparece em componentes como o Vertex AI Agent Engine e o Ray on Vertex AI, onde identidades gerenciadas podem ter permissoes amplas no projeto, aumentando o impacto caso sejam exploradas. Para empresas que usam a plataforma para criar e operar solucoes de IA, isso significa possibilidade de acesso indevido a recursos do ambiente, alteracoes nao autorizadas e ampliacao rapida do estrago, justamente por envolver contas com privilegios elevados. O ponto central e que o atacante nao precisa comecar com acesso administrador: ele pode partir de uma permissao pequena e, a partir dali, buscar “subir de nivel” explorando essas brechas e configuracoes. Dica de prevencao: revise quem tem acesso aos projetos e reduza permissoes ao minimo necessario, principalmente em ambientes de IA. Monitore atividades suspeitas e mantenha configuracoes e controles revisados com frequencia. No geral, o caso reforca que cloud e IA exigem governanca forte de acessos e configuracoes; para avaliar seu ambiente e priorizar correcoes, conheca os servicos da LC SEC em Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientizacao, Plano Diretor de Seguranca e SGSI (politicas/processos/procedimentos) em lcsec.io
Fonte: GBHackers Security | https://gbhackers.com/google-vertex-ai-flaw/
Compartilhe nas redes sociais:
