Il team di ricerca Unit 42 di Palo Alto Networks ha identificato criticità in Vertex AI Agent Engine di Google Cloud Platform (GCP). Un agente AI implementato in modo perfettibile può essere trasformato in uno strumento capace di compromettere interi ambienti, diventando di fatto un “agente doppiogiochista”.

La ricerca esamina una vulnerabilità che, sfruttando la configurazione dei permessi predefinita, può avere conseguenze critiche.

Vertex AI di Google Cloud offre strumenti avanzanti come Agent Engine e Application Development Kit (ADK) per sviluppare e distribuire agenti.

Tuttavia, se uno di questi viene compromesso o configurato in modo errato, può trasformarsi in una minaccia interna capace di esfiltrare dati e di compromettere l’intera infrastruttura.

Il lavoro svolto dai ricercatori di Palo Alto Networks è importante. Tuttavia, con il supporto di Pierluigi Paganini, CEO Cybhorus e direttore dell’Osservatorio sulla cybersecurity Unipegaso, vedremo che l’adozione degli agenti AI è imprescindibile nonostante la loro fragilità.

Google Cloud Platform e l’escalation dei privilegi

La vulnerabilità principale risiede nel Per-Product Service Agent (P4SA), account di servizio gestito da Google e progettato per consentire a uno specifico servizio di accedere alle risorse necessarie al funzionamento di Google Cloud Platform e che, di default, gode di privilegi ampi.

Mediante la distribuzione di un agente appositamente istruito tramite Vertex AI Agent Engine, i ricercatori sono riusciti a estrarre le credenziali P4SA dal metadata endpoint interno di Google Cloud Storage.

Di fatto, la risposta dell’agente malevolo contiene dettagli rilevanti in formato Json, tra i quali proprio le identità del servizio e i relativi token di accesso, utili a rompere l’isolamento dell’esecuzione dell’AI.

Le credenziali sottratte non colpiscono solo le organizzazioni che ricorrono a Google Cloud ma anche la stessa Google, infatti, i ricercatori hanno scoperto che l’agente di servizio ha accesso a repository privati tipicamente inaccessibili agli utenti finali.

I rischi concreti

Per il dispiego degli agenti, Vertex AI usa tenant project gestiti da Google e le credenziali compromesse hanno consentito ai ricercatori di individuare file critici quali Dockerfile.zip e code.pkl, sulla cui importanza è opportuno soffermarsi.

Dockerfile.zip è un pacchetto che contiene le istruzioni tecniche usate da Google per costruire e configurare gli ambienti virtuali nei quali vengono eseguiti gli agenti AI.

All’interno ci sono quindi informazioni che riguardano i progetti interni di Google e gli indirizzi di bucket privati (ovvero le cartelle di archiviazione).

Non mette in condizione di esfiltrare dati ma svela l’infrastruttura di Google Cloud. È una sorta di mappa di un edificio che indica anche dove si trova la cassaforte e come è protetta. Informazioni utili a sferrare attacchi più mirati.

Nel file code.pkl, invece, è contenuto il codice dell’agente AI. Il file è creato con un modulo Python chiamato pickle, la cui documentazione di riferimento insiste sul fatto che non è da ritenere sicuro perché, se aperto (deserializzato), può eseguire in modo automatico qualsiasi comando contenuto.

Attraverso la manipolazione di code.pkl, un cyber criminale potrebbe creare una backdoor persistente nell’ambiente in cui gira l’agente, permettendogli di controllare l’AI e accedere ai dati per lungo tempo.

Analizzando la struttura di tale file, i ricercatori sono riusciti a vedere parti del codice sorgente proprietario di Google, che normalmente dovrebbe essere protetto e inaccessibile.

Più in concreto, se un criminal hacker r riesce a sostituire o modificare il file code.pkl con uno malevolo, può costringere il sistema a eseguire comandi inattesi e indesiderati. Questo scenario, chiamato Remote Code Execution (RCE), mette in condizione di prendere rende il controllo totale dell’ambiente in cui lavora l’AI.

Gli scope OAuth e i rischi annessi

Un’altra nota dolente riguarda gli scope OAuth 2.0 assegnati di default all’Agent Engine. Scope che si rivelano essere estremamente ampi e includono servizi come Gmail, Google Calendar e Google Drive.

Sebbene l’accesso effettivo richieda anche permessi Identity access management specifici, la presenza di scope così vasti non modificabili rappresenta una debolezza strutturale che viola il principio del privilegio minimo, aumentando il rischio di accesso laterale ai servizi aziendali.

Mitigazione

Big G ha collaborato con i ricercatori di Palo Alto Networks e ha tradotto le indicazioni ricevute in azioni concrete.

Oltre ad avere migliorato la documentazione tecnica specificando con maggiore dovizia di particolari il modo in cui Vertex AI usa risorse e account.

Inoltre, Google ha esplicitamente raccomandato di sostituire l’account di servizio predefinito (Bring Your Own Service Account, BYOSA) con uno personalizzato, garantendogli solo i permessi effettivamente necessari.

Non di meno, Google ha confermato la presenza di controlli che impediscono la modifica delle immagini di produzione da parte dei service agent, bloccando scenari di avvelenamento delle immagini tra diversi tenant.

In conclusione, l’integrazione degli agenti AI richiede lo stesso rigore di sicurezza con le quali ogni organizzazione dovrebbe implementare qualsivoglia tecnologia.

Gli agenti AI nel contesto attuale

Questa ricerca sugli agenti AI è un monito alla loro adozione consapevole. Nel panorama della cyber security le vulnerabilità che li attanagliano non devono creare stupore.

Infatti, come spiega l’ingegner Paganini: “Quanto evidenziato da Palo Alto Networks non deve sorprenderci, essendo coerente con la storia della sicurezza: ogni tecnologia complessa introduce nuovi rischi quando aumenta automazione, integrazione e privilegi.

Gli agenti AI amplificano il problema perché agiscono autonomamente, orchestrano servizi e operano con identità proprie.

La novità non è la vulnerabilità, ma la velocità e la scala del potenziale impatto. Un errore di configurazione non compromette più solo un componente, ma può propagarsi lungo intere catene di servizi, rendendo l’AI un moltiplicatore di rischio sistemico”.

Gli errori di configurazione riguardano tanto gli agenti AI quanto altri sistemi e infrastrutture. “Qualsiasi tecnologia diventa pericolosa se implementata e configurata male, dal cloud alle reti fino alle identità digitali. Tuttavia, gli agenti AI introducono un salto qualitativo: combinano privilegi, capacità decisionali e accesso a dati sensibili.

Questo li rende simili a ‘utenti autonomi’ difficili da monitorare. Se a ciò si aggiungono permessi eccessivi o scope troppo ampi, il rischio non è solo accesso non autorizzato, ma abuso intelligente delle risorse, con comportamenti difficili da prevedere e rilevare”, continua l’esperto.

Gli agenti AI non vanno demonizzati e la loro adozione non va rallentata, va approfondita fino al punto di farne uso in piena consapevolezza: “La storia dimostra che l’innovazione non si ferma, ma si adatta. Studi come questo non bloccheranno l’adozione, ma la renderanno più consapevole e regolata.

Le aziende continueranno a integrare agenti AI per vantaggi competitivi, introducendo però controlli più stringenti: least privilege, auditing continuo, isolamento e AI security posture management.

Il vero impatto sarà culturale: gli agenti verranno trattati come identità critiche, non semplici strumenti, con un ciclo di sicurezza simile a quello del codice in produzione”, conclude l’ingegner Paganini.