Unit 42, el equipo de investigación de Palo Alto Networks, identificó una vulnerabilidad crítica en Vertex AI Agent Engine de Google Cloud Platform que puede transformar a un agente de inteligencia artificial en un actor con acceso desproporcionado dentro de un entorno corporativo. Bajo configuraciones predeterminadas, los agentes de IA pueden recibir privilegios mucho más amplios de los necesarios, lo que significa que, si son comprometidos, pueden operar como doble agente con la capacidad de consultar, acceder y extraer información sensible sin restricciones.
La falla se origina en los permisos excesivos asignados por defecto al servicio Per‑Project, Per‑Product Service Agent (P4SA). Esto permite que un solo agente mal configurado o manipulado se convierta en un punto de acceso privilegiado dentro del proyecto de nube afectado.
Cuando un agente de IA puede ver más de lo permitido
La investigación demostró que un atacante que comprometa a uno de estos agentes puede obtener lectura irrestricta de todos los datos almacenados en los Google Cloud Storage Buckets del proyecto. Esta exposición incluye información empresarial sensible y otros recursos operativos que deberían estar protegidos por controles de acceso más estrictos.
Además, el equipo de expertos logró acceder a repositorios internos de Artifact Registry de Google, desde los cuales fue posible descargar imágenes de contenedores que forman parte del Vertex AI Reasoning Engine. Esto reveló detalles internos de infraestructura y componentes clave utilizados por la plataforma, elevando el riesgo a escenarios de ataque más complejos relacionados con la cadena de suministro de IA.
Además, identificaron permisos OAuth 2.0 predeterminados, demasiado amplios y no modificables, que suponen un riesgo adicional. En ciertas condiciones, estas autorizaciones podrían incluso extender el alcance del ataque a servicios de Workspace como Gmail o Drive, según el contexto del agente atacado.
Un llamado urgente a revisar permisos y configuraciones de agentes de IA
Tras este hallazgo, Unit 42 compartió los detalles de su investigación con Google y colaboró estrechamente con su equipo de seguridad. Como resultado de este trabajo conjunto, Google actualizó su documentación oficial para describir con mayor claridad cómo Vertex AI utiliza recursos, cuentas y agentes, brindando mayor claridad a las organizaciones sobre su funcionamiento y su modelo de permisos.
Los investigadores advierten que, ante la creciente adopción de agentes autónomos, las organizaciones deben revisar con especial cuidado los niveles de acceso a estas herramientas. La autonomía y velocidad con las que operan significan que un permiso mal definido puede convertirse en una brecha significativa, capaz de escalar rápidamente y comprometer información crítica de cualquier organización.
