2026-01-20 01:41:38 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 研究人员披露GoogleVertexAI存在严重权限提升漏洞，攻击者可通过AgentEngine注入恶意代码或利用Ray服务默认配置劫持高权限服务代理。这使低权限用户能获取根权限并访问敏感数据。建议企业立即撤销不必要权限、关闭头节点Shell并监控元数据访问，以防范云环境身份风险。 综合评分： 91 文章分类： 漏洞分析,云安全,漏洞预警

cover_image

Google Vertex AI漏洞允许低权限用户提升至服务代理角色

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月18日 12:40 北京

安全研究人员在谷歌的 Vertex AI 平台中发现了严重的权限提升漏洞，攻击者只需极少的权限即可劫持高权限的服务代理账户。

这些缺陷会影响 Vertex AI Agent Engine 和 Vertex AI 上的 Ray，其中默认配置允许低权限用户访问具有项目级权限的强大托管身份。

随着企业快速部署生成式 AI 基础设施（目前 98% 的企业正在试验或实施Google Cloud Vertex AI 等平台），这些被忽视的身份风险对云环境构成了重大威胁。

服务代理是由 Google Cloud 管理的特殊服务账户，代表用户执行内部操作，通常会自动获得广泛的权限。

研究人员发现了两种不同的攻击途径，可以将这些“隐形”的受管身份转化为可利用的权限提升途径。

当谷歌得知此事后回应称，这些服务“运行正常”，这意味着这些配置目前仍是默认配置。

平台工程师和安全团队必须了解这些技术机制，才能立即保护他们的环境。

Vertex AI 代理引擎工具注入漏洞

第一个漏洞针对的是 Vertex AI Agent Engine，它使开发人员能够使用 Google 的 ADK 等框架在 GCP 基础架构上部署 AI 代理。

研究人员发现，拥有 aiplatform.reasoningEngines.Update 权限的攻击者可以将恶意 Python 代码注入到推理引擎中的工具调用中。

该攻击的原理是使用包含恶意代码的工具（例如嵌入在标准函数中的反向 shell）来更新现有的推理引擎。

触发后，该代码会在推理引擎的计算实例上执行，攻击者可以通过实例元数据服务提取“推理引擎服务代理”的凭据。

默认情况下，此服务代理拥有广泛的权限，包括访问 Vertex AI 内存、聊天会话、存储桶和日志记录功能。

攻击者可以读取所有聊天记录，访问 LLM 内存，并从存储资源中检索敏感信息。

关键在于，这种攻击只需要极少的权限，因为任何账户的公共存储桶都可以用作暂存位置。

Vertex AI上的Ray

第二个漏洞会影响 Vertex AI 集群上的 Ray，其中“自定义代码服务代理”会自动附加到集群头节点。

XM Cyber 的研究人员发现，只有 aiplatform.persistentResources.list 和 aiplatform.persistentResources 的用户。

拥有标准“Vertex AI 查看器”角色权限的用户可以通过 GCP 控制台获得对头节点的根访问权限。

即使拥有只读查看权限，攻击者也可以点击控制台中的“Head node interactive shell”链接来获取 root shell。

然后，他们查询元数据服务以检索自定义代码服务代理访问令牌。

虽然该令牌的 IAM 操作范围有限，但它赋予了对存储桶、BigQuery 资源、发布/订阅以及整个云平台的只读访问权限的完全控制权。

使用 Vertex AI 的组织应使用自定义角色撤销不必要的服务代理权限，关闭头节点 shell，在更新前验证工具代码，并通过安全指挥中心监控元数据服务访问。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿网络安全9527 网络安全9527《Google Vertex AI漏洞允许低权限用户提升至服务代理角色》