Autonomiczne systemy AI działające w chmurze Google mogą w określonych warunkach uzyskiwać dostęp do danych i zasobów organizacji na poziomie uprzywilejowanego użytkownika. Jak wskazują badacze zespołu Unit 42, problem dotyczy środowiska Google Cloud, w tym platformy Vertex AI, gdzie domyślne konfiguracje mogą nadawać agentom AI zbyt szerokie uprawnienia . W praktyce oznacza to, że błędnie skonfigurowany lub przejęty agent może uzyskiwać dostęp do kluczowych danych i systemów, wykraczający poza jego rzeczywiste potrzeby operacyjne.

Odkrycie to wpisuje się w szerszy trend związany z rosnącą rolą autonomicznych systemów w środowiskach chmurowych. Coraz więcej firm wykorzystuje agentów AI do automatyzacji procesów biznesowych, powierzając im dostęp do wielu systemów jednocześnie. Nie jest to odosobniony przypadek – z analiz Palo Alto Networks wynika, że aż 99% organizacji doświadczyło w ostatnim roku co najmniej jednego ataku wymierzonego w systemy AI, a najczęstsze scenariusze obejmują przejmowanie uprawnień i dostęp do danych.

 

– Wraz z rosnącą skalą wdrażania agentów AI firmy tworzą systemy o bardzo szerokim zakresie autonomii. Jeśli ich uprawnienia nie są odpowiednio ograniczone, mogą stać się naturalnym celem dla atakujących i w efekcie działać jak uprzywilejowani użytkownicy z dostępem do krytycznych zasobów. W przypadku Google Cloud Vertex AI problem wynikał z faktu, że domyślne ustawienia przypisywały agentowi zakres dostępu wykraczający poza jego rzeczywiste potrzeby operacyjne, co w praktyce otwierało możliwość dalszej eskalacji uprawnień. W efekcie pojedynczy komponent mógł stać się punktem wyjścia do szerszego dostępu do zasobów chmurowych, w tym danych przechowywanych w infrastrukturze organizacji – wskazuje Tomasz Pietrzyk, dyrektor techniczny w Palo Alto Networks w Europie Środkowo-Wschodniej.

 

Analiza wskazuje również, że w określonych warunkach możliwy był dostęp do elementów infrastruktury platformy, co zwiększa ryzyko poznania jej architektury i potencjalnych ataków na łańcuch dostaw. Eksperci Unit 42 zwracają też uwagę, że zakres domyślnych uprawnień może w niektórych scenariuszach obejmować inne usługi powiązane z ekosystemem organizacji.

Nowe ustalenia pokazują zmianę charakteru zagrożeń związanych ze sztuczną inteligencją. Dotychczas AI była przede wszystkim narzędziem wykorzystywanym przez cyberprzestępców – m.in. do automatyzacji phishingu czy tworzenia złośliwego oprogramowania. Obecnie coraz częściej staje się także celem ataku lub jego pośrednikiem. Jednocześnie rozwój AI skraca czas między wykryciem podatności a jej wykorzystaniem, co dodatkowo zwiększa znaczenie błędnych konfiguracji i nadmiernych uprawnień.

 

– Kluczowe znaczenie ma właściwa konfiguracja i nadzór nad systemami AI. W praktyce oznacza to konieczność ścisłego ograniczania zakresu uprawnień zgodnie z podstawową zasadą “least privilege” obowiązującą w security, stosowania dedykowanych kont usługowych zamiast domyślnych ustawień oraz regularnego audytu dostępu do danych i usług. Coraz większą rolę odgrywa również monitorowanie zachowania agentów AI, które – podobnie jak w przypadku użytkowników uprzywilejowanych – powinno być analizowane pod kątem anomalii – podkreśla Tomasz Pietrzyk.

 

Rozwój platform takich jak Vertex AI przyspiesza transformację cyfrową przedsiębiorstw, ale jednocześnie zmienia sposób myślenia o bezpieczeństwie. Autonomiczne systemy stają się pełnoprawnymi uczestnikami środowiska IT, a to oznacza, że wymagają takiego samego podejścia jak użytkownicy z wysokimi uprawnieniami – z jasno określonym zakresem dostępu i stałą kontrolą ich działania.