Investigadores de Palo Alto Networks Unit 42 han identificado un grave punto ciego de seguridad en Google Cloud Vertex AI que permite a un atacante aprovechar agentes de IA para obtener acceso no autorizado a datos e infraestructura del cliente. El origen del problema está en el modelo de permisos de la plataforma y en los excesivos privilegios asignados por defecto a determinadas cuentas de servicio.
Cómo funciona Vertex AI y por qué los agentes de IA amplifican el riesgo
Vertex AI es la plataforma de Google Cloud para desarrollar, desplegar y orquestar modelos y agentes de IA que interactúan de forma autónoma con recursos en la nube. Para ejecutar estas operaciones, Google crea cuentas de servicio específicas conocidas como P4SA (Per-Project, Per-Product Service Agent), que actúan en nombre del servicio dentro del proyecto del cliente.
Según Unit 42, las cuentas P4SA generadas al desplegar un agente mediante Vertex AI Agent Development Kit (ADK) y Agent Engine reciben por defecto permisos más amplios de lo necesario. Cada invocación del agente puede consultar el servicio de metadatos de Google Cloud, desde el que es posible extraer credenciales de la cuenta de servicio, información del proyecto, identidad del agente y los scopes OAuth asignados.
Si un atacante consigue comprometer un agente de IA —por ejemplo, a través de una vulnerabilidad en el código, un error de configuración o inyección de instrucciones maliciosas— ese agente se convierte en un “doble agente”: continúa respondiendo a las peticiones legítimas, pero al mismo tiempo puede exfiltrar datos, ejecutar acciones en nombre de la cuenta de servicio y establecer persistencia en el entorno de nube.
Escape del contexto de Vertex AI y acceso a datos en Google Cloud Storage
Unit 42 demostró que, una vez obtenidas las credenciales P4SA desde el servicio de metadatos, es posible salir del contexto aislado del agente de IA y operar directamente dentro del proyecto de Google Cloud del cliente. Esto rompe la separación esperada entre el servicio gestionado Vertex AI y los recursos del inquilino.
Con los tokens robados, los investigadores lograron leer todos los datos de los buckets de Google Cloud Storage (GCS) del proyecto afectado. En muchos entornos, GCS aloja copias de seguridad, volcados de bases de datos, modelos de aprendizaje automático y otros activos altamente sensibles. En la práctica, un agente de IA comprometido pasa a comportarse como un “insider” con acceso de solo lectura, pero con visibilidad potencialmente completa sobre la información crítica de la organización.
Acceso al proyecto gestionado por Google y expansión de la superficie de ataque
El componente Vertex AI Agent Engine se ejecuta en un proyecto separado gestionado por Google (tenant gestionado). Unit 42 verificó que las mismas credenciales P4SA también permitían enumerar recursos de Google Cloud Storage en este tenant interno.
Aunque no se disponía de permisos para leer el contenido de los buckets, el simple hecho de poder listar recursos internos aumenta la superficie de ataque. Esta visibilidad adicional aporta información valiosa para la fase de reconocimiento, como nombres de buckets, patrones de despliegue y posible estructura interna de la plataforma.
Artifact Registry y riesgos para la cadena de suministro de software
Acceso a imágenes privadas del Vertex AI Reasoning Engine
El hallazgo más preocupante se relaciona con Google Artifact Registry, el servicio de registro de contenedores e imágenes. Los investigadores descubrieron que las credenciales P4SA permitían acceder a repositorios privados y descargar imágenes de contenedor utilizadas por Vertex AI Reasoning Engine, componentes que no están destinados a distribución pública.
Al obtener estas imágenes, un atacante accede a código propietario, configuraciones internas y dependencias. Esto no solo implica un riesgo de exfiltración de propiedad intelectual, sino que ofrece un mapa detallado de la arquitectura interna, que puede facilitar la búsqueda de nuevas vulnerabilidades, servicios mal configurados o componentes desactualizados.
Impacto en la seguridad de la cadena de suministro
Desde la perspectiva de la ciberseguridad, este escenario representa un problema clásico de gestión deficiente de accesos en la cadena de suministro de software. Tener visibilidad sobre imágenes internas, incluso sin control total, permite al atacante:
– Cartografiar la cadena de suministro de Google Cloud y Vertex AI.
– Identificar imágenes potencialmente vulnerables o sin mantenimiento.
– Diseñar ataques dirigidos contra la infraestructura de la plataforma o contra clientes que consumen esos mismos componentes.
Respuesta de Google y buenas prácticas para asegurar Vertex AI
Google ha actualizado la documentación oficial de Vertex AI para explicar con mayor detalle qué recursos, cuentas y agentes intervienen en la prestación del servicio. La recomendación central para los clientes es adoptar el enfoque BYOSA (Bring Your Own Service Account) y aplicar estrictamente el principio de mínimo privilegio (PoLP).
En la práctica, esto implica asignar a los agentes de IA solo los permisos imprescindibles para sus tareas, evitando roles amplios de tipo Editor o equivalentes. Es fundamental restringir los scopes OAuth, deshabilitar APIs innecesarias, revisar periódicamente las funciones asignadas y monitorizar de manera centralizada el uso de cuentas de servicio y sus claves.
Los enfoques de referencia en la industria, como los marcos de NIST y ENISA, recomiendan tratar la puesta en producción de agentes de IA igual que el despliegue de un nuevo microservicio o aplicación crítica. Antes de llevar un agente a producción conviene:
– Validar fronteras de permisos y aislamiento entre proyectos.
– Implementar controles de integridad sobre código fuente e imágenes de contenedor.
– Incluir pruebas de seguridad específicas, como intentos controlados de acceso al servicio de metadatos.
– Configurar auditoría y alertas ante actividad anómala de cuentas de servicio.
La rápida adopción de modelos generativos y agentes de IA autónomos los convierte en un objetivo prioritario para los atacantes. Las organizaciones que utilizan Google Cloud Vertex AI y plataformas similares deberían revisar sus políticas de control de acceso, implantar BYOSA, integrar estos servicios en sus procesos de DevSecOps y realizar revisiones de configuración de forma regular. Fortalecer hoy la gobernanza de identidades y permisos en torno a la IA es clave para evitar que los agentes se transformen, silenciosamente, en “dobles agentes” dentro de la nube corporativa.
