谷歌修复了两个可能导致特权升级和模型泄露的 Vertex AI 漏洞 媒体

Google Vertex AI 漏洞修复概述

关键要点

据 Palo Alto Networks 的 Unit 42 报告，Google 已解决了其 Vertex AI 平台中的两个漏洞，这可能导致特权升级和微调机器学习 (ML) 模型及大型语言模型 (LLM) 的数据泄露。

Vertex AI 提供一系列工具和功能，帮助开发者利用 Google Cloud 资源训练和部署 AI 模型。其中一个主要功能是 Vertex AI Pipelines，允许开发者创建自定义训练任务，以便灵活调整模型。

由于运行自定义任务类似于运行代码，这就为恶意行为者提供了利用该功能执行未授权命令的可能性，研究人员发现。 他们还指出，自定义任务以“服务代理”权限执行，这些权限远远超出启动任务所需的基本权限。

研究人员试图利用自定义任务的服务代理身份的提升特权，创建了一个自定义镜像，当执行自定义作业时会打开一个反向 shell，从而将用户的特权提升至 AI 平台自定义代码服务代理的级别。

通过该角色，研究人员能够访问元数据服务和所有 BigQuery 表，获取服务凭证，提取用户数据脚本，列出所有服务账户，创建、删除、读取和写入所有存储桶等。此外，他们还利用用户数据脚本进一步提升访问权限，以获取虚拟机创建的可见性，并获得 Google Cloud Platform 内部 Artifactory 存储库的元数据，研究人员写道。

“我们使用这些元数据访问了内部 GCP 存储库，并下载了使用原始服务账户没有权限的镜像。尽管我们获得了对受限内部 GCP 存储库的访问，但我们无法理解所发现漏洞的程度，因为存储库的权限是按照存储库级别授予的，”报告的作者解释道。

部署错误模型如何导致大规模模型盗窃

Unit 42 发现的第二个漏洞并已由 Google 修复，可能导致通过部署旨在创建反向 shell 的恶意模型而泄露 LLM 和 ML 模型。攻击者可以修改一个合法模型，并将其发布到开源存储库，以便被毫无防备的用户导入和部署。

Unit 42 在测试 Vertex AI 环境中测试了这种情况下可能产生的后果，发现他们的恶意模型获得了只读访问权限，但可以通过收集项目资源的信息，从 Google Cloud 平台向 Kubernetes 环境进行横向移动，并最终获得集群凭证。

通过利用有限的访问权限逐步勘探被入侵环境的资源、资产和架构，研究人员能够定位、识别并提取存储在环境中的所有模型图像。他们还能够访问包含适配器文件的存储桶，可能包含 LLM 微调的敏感和专有信息。

研究人员的工作强调了在 Vertex AI 等平台上部署不可信 AI 模型的风险，报告的作者敦促用户确保在敏感项目中部署新模型的能力得到适当限制。他们还建议更好地隔离用于部署新模型的测试环境与实时生产环境，并在部署之前对第三方模型进行适当审查和验证。