Auf den Punkt: Das Vertex AI SDK generierte vorhersagbare Namen für temporäre Cloud Storage Buckets; Angreifer konnten diese Namen reservieren und Modell-Uploads umleiten, was Code-Ausführung via manipulierte Pickle-Dateien ermöglichte.
Sicherheitsforscher von Palo Alto Networks Unit 42 haben eine kritische Schwachstelle im Google Cloud Vertex AI SDK für Python offengelegt, die es Angreifern ermöglichte, Modell-Uploads zu kapern und beliebigen Code in Google-Infrastruktur auszuführen – ohne direkten Zugriff auf das Opfer-Projekt.
Die Schwachstelle, von den Forschern als „Pickle in the Middle“ benannt, lag in der automatischen Erstellung temporärer Cloud Storage Buckets. Wenn Nutzer keinen expliziten Bucket angaben, berechnete das SDK einen Bucket-Namen basierend auf Projekt-ID und Region. Da Bucket-Namen weltweit eindeutig sein müssen, konnte ein Angreifer diesen vorhersagbaren Namen präventiv in einem eigenen Projekt reservieren und so erzwingen, dass das SDK des Opfers das Modell in die angreifer-kontrollierte Ressource hochlud.
Nach erfolgreichem Upload konnte der Angreifer das Modell durch eine manipulierte Datei ersetzen. Da Python-Modelle häufig im Pickle- oder Joblib-Format vorliegen, das während des Ladens automatisch Code ausführt, gelang es, beliebige Befehle innerhalb des Serving-Containers von Vertex AI auszuführen. Unit 42 demonstrierte im Test die Exfiltration von OAuth-Tokens, den Zugriff auf BigQuery-Metadaten und die Kompromittierung von Modellartefakten.
Google schloss die Schwachstelle in zwei Stufen. Version 1.144.0 des google-cloud-aiplatform SDKs integrierte einen zufälligen UUID4-Wert in den Bucket-Namen, um Vorhersagbarkeit auszuschließen. Version 1.148.0 ergänzte eine Überprüfung der Bucket-Eigentümerschaft, um Bucket-Squatting beim Modell-Upload zu unterbinden.
CISOs sollten das SDK unverzüglich auf Version 1.148.0 oder höher aktualisieren. Empfohlen ist zudem die manuelle Angabe des Parameters staging_bucket bei Modell-Uploads sowie eine Inventur der SDK-Version in allen Umgebungen – inklusive Notebooks, CI/CD-Jobs und Training-Pipelines.
Quelle: www.it-daily.net · Erschienen 19. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.