Các tác nhân Trí tuệ Nhân tạo (AI agents) đang nhanh chóng trở thành một phần không thể thiếu trong quy trình làm việc của doanh nghiệp, đồng thời cũng tạo ra các bề mặt tấn công mới. Mới đây, các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng trong Google Cloud Platform’s Vertex AI Agent Engine, cho phép kẻ tấn công thực hiện chiếm quyền điều khiển hệ thống.
Khai thác quyền mặc định, kẻ tấn công có thể biến các tác nhân AI được triển khai thành “tác nhân kép”, bí mật đánh cắp dữ liệu và xâm phạm cơ sở hạ tầng đám mây. Đây là một rủi ro bảo mật đáng báo động đối với các tổ chức sử dụng Vertex AI.
Hiểu Về Lỗ Hổng Vertex AI Agent Engine
Vấn đề cốt lõi nằm ở các quyền mặc định được cấp cho Per-Project, Per-Product Service Agent (P4SA) liên kết với các tác nhân AI được triển khai. Các nhà nghiên cứu đã xây dựng một tác nhân thử nghiệm bằng Google Cloud Application Development Kit và dễ dàng trích xuất thông tin xác thực của service agent cơ bản.
Với các thông tin xác thực bị đánh cắp, kẻ tấn công có thể thoát khỏi ngữ cảnh thực thi biệt lập của tác nhân AI và xâm nhập vào dự án tiêu dùng rộng lớn hơn. Sự leo thang đặc quyền này biến một công cụ AI hữu ích thành một mối đe dọa nội bộ nguy hiểm, tạo điều kiện cho kẻ tấn công chiếm quyền điều khiển tài nguyên.
Khai Thác Thông Tin Xác Thực và Tấn Công Leo Thang Đặc Quyền
Khi danh tính bị xâm phạm, kẻ tấn công có thể thực hiện một loạt các hành động độc hại, bao gồm:
- Truy cập và rò rỉ dữ liệu nhạy cảm từ các dịch vụ đám mây khác.
- Thay đổi cấu hình hoặc triển khai tài nguyên mới.
- Tạo điều kiện cho các cuộc tấn công tiếp theo vào cơ sở hạ tầng.
Thông tin xác thực bị xâm phạm cũng cấp quyền truy cập vào dự án tenant được Google quản lý, dành riêng cho phiên bản tác nhân. Trong môi trường này, các nhà nghiên cứu của Palo Alto Networks đã tìm thấy các tệp triển khai nhạy cảm, bao gồm các tham chiếu đến các kho lưu trữ nội bộ và một tệp Python pickle.
Module Python’s pickle có lịch sử không an toàn khi giải mã dữ liệu không đáng tin cậy. Nếu kẻ tấn công thao túng thành công tệp này, chúng có thể đạt được thực thi mã từ xa (remote code execution) để thiết lập backdoor dai dẳng, dẫn đến việc chiếm quyền điều khiển hoàn toàn.
Phạm Vi OAuth 2.0 Rộng và Rủi Ro Xuyên Môi Trường
Ngoài ra, các phạm vi OAuth 2.0 mặc định được gán cho Agent Engine được phát hiện là quá rộng một cách nguy hiểm. Những phạm vi quá rộng này, về lý thuyết, có thể mở rộng tầm với của kẻ tấn công ngoài môi trường đám mây vào các ứng dụng Google Workspace của tổ chức.
Mặc dù việc thiếu các quyền Identity and Access Management (IAM) đã ngăn chặn truy cập ngay lập tức, các phạm vi rộng vẫn đại diện cho một điểm yếu bảo mật cấu trúc nghiêm trọng. Điểm yếu này tăng cường rủi ro bảo mật tiềm tàng cho toàn bộ hệ sinh thái của người dùng.
Biện Pháp Giảm Thiểu và Khuyến Nghị Bảo Mật
Sau quy trình công bố có trách nhiệm, Google đã hợp tác với các nhà nghiên cứu bảo mật để giảm thiểu các mối đe dọa này. Google đã xác nhận rằng các biện pháp kiểm soát mạnh mẽ ngăn chặn kẻ tấn công thay đổi các image gốc trong môi trường sản xuất, qua đó chặn các cuộc tấn công chuỗi cung ứng xuyên tenant tiềm năng.
Họ cũng đã cập nhật tài liệu chính thức của Vertex AI để tăng tính minh bạch về việc sử dụng tài nguyên và tài khoản. Để bảo vệ các triển khai Vertex Agent Engine một cách thích hợp, các tổ chức phải loại bỏ các cấu hình mặc định. Google hiện khuyến nghị cách tiếp cận Bring Your Own Service Account (BYOSA).
Bằng cách thay thế service agent mặc định bằng một tài khoản tùy chỉnh, các nhóm bảo mật có thể thực thi nghiêm ngặt nguyên tắc đặc quyền tối thiểu (principle of least privilege) và chỉ cấp cho tác nhân AI các quyền chính xác cần thiết để hoạt động. Điều này giúp ngăn chặn các nỗ lực chiếm quyền điều khiển hoặc rò rỉ dữ liệu thông qua các lỗ hổng cấp quyền.
Việc áp dụng phương pháp BYOSA là một bước quan trọng để giảm thiểu rủi ro bảo mật và đảm bảo rằng AI agents chỉ có thể truy cập những tài nguyên cần thiết, qua đó củng cố an ninh mạng tổng thể.
