Auf den Punkt: Attackers could pre-register cloud storage buckets based on predictable naming schemes derived from project ID und Region, um dann hochgeladene Modelle durch Malware zu ersetzen, bevor Vertex AI sie lud.
Eine Designschwäche im Vertex AI SDK für Python (Versionen 1.139.0 und 1.140.0) ließ sich ausnutzen, um fremde KI-Modelle zu ersetzen und beliebigen Code auszuführen. Angreifer konnten durch Bucket-Squatting Staging-Buckets preemptiv mit voraussagbarer Namensgebung belegen.
Unit 42 Forscher identifizierten in Vertex AI SDK for Python die Versionen 1.139.0 und 1.140.0 als anfällig. Die kritische Komponente: Das SDK leitete Staging-Bucket-Namen ausschließlich aus der Projekt-ID und Region des Kunden ab. Wenn ein Bucket mit diesem Namen bereits existierte, prüfte das SDK zwar dessen Existenz, bestätigte aber nicht sein Eigentum. Da Bucket-Namen global eindeutig sein müssen, konnte ein Angreifer einen identischen Namen in seinem eigenen Projekt reservieren und auf die Nutzung durch das Opfer warten.
Sobald der SDK ein Modell-Artefakt in den squattet-Bucket hochlud, konnte der Angreifer es in einem kurzen Fenster vor dem Abruf durch Vertex AIs Service-Agent austauschen. Die resultierende RCE entstand durch Python-Pickle-Deserialisierung: ML-Modelle werden häufig im Pickle- oder Joblib-Format serialisiert. Pickle führt bei der Deserialisierung beliebigen Code aus – spezialgefertigte Objekte ermöglichen so Fernzugriff auf das Vertex-Infrastruktur-System. Unit 42 nannte diese Angriffsklasse „Pickle in the Middle“ (Anlehnung auf Man-in-the-Middle).
Google hat die Schwäche behoben. Die Fixes wurden in SDK-Versionen 1.144.0 und 1.148.0 ausgerollt. Staging-Buckets werden seither validiert, bevor sie verwendet werden, um zu verhindern, dass Angreifer Bucket-Namen für Ressourcen anderer Projekte registrieren können. Nutzer müssen auf eine dieser gepatchten Versionen aktualisieren.
Bei der Analyse setzte Unit 42 ein großes Sprachmodell ein, um Sicherheitslücken schneller zu entdecken. Nach Aussage der Forscher verkürzten sich Analysen, die früher Tage dauerten, erheblich. Durch iteratives Verfeinern der Modell-Fokussierung und Suche nach spezifischen Patterns identifizierten sie Zugangswege zu Cloud-Ressourcen, die durch nutzerkontrollierte oder projekt-abgeleitete Eingaben gefährdet waren.
Quelle: www.csoonline.com · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.