Aktualita

Späť na aktuality
#cybersecurity #VertexAI #GoogleCloud #AIbezpecnost #modelpoisoning #supplychainattack #TopPrivacy #informacnabezpecnost #MachineLearning #cloudovabezpecnost

Google Vertex AI: zraniteľnosť umožňovala poisoning modelov a spustenie škodlivého kódu

19.6.2026 | Autor: Top privacy
5

Zraniteľnosť v Google Cloud Vertex AI SDK umožňovala útočníkom nahradiť modely strojového učenia škodlivým kódom. Opravená vo verzii 1.148.0. Zistite, čo to znamená pre vašu AI infraštruktúru.

Google Vertex AI: zraniteľnosť umožňovala poisoning modelov a spustenie škodlivého kódu

Čo sa stalo

Výskumníci z tímu Unit 42 (Palo Alto Networks) odhalili kritickú zraniteľnosť v Google Cloud Vertex AI Python SDK (google-cloud-aiplatform), ktorá mohla útočníkom umožniť prevziať kontrolu nad nahrávanými modelmi strojového učenia a spustiť škodlivý kód v prostredí obete. Zraniteľnosť bola nahlásená cez Google Vulnerability Reward Program a plne opravená vo verzii 1.148.0, vydanej 15. apríla 2026.

Problém sa týkal verzií SDK 1.139.0 a 1.140.0 a vznikol kombináciou dvoch nedostatkov: predvídateľného pomenovania cloudových úložísk (GCS buckets) a chýbajúceho overenia vlastníctva bucketu. Útočník tak mohol zneužiť túto medzeru bez toho, aby mal akýkoľvek prístup do cloudového projektu obete.

Ako útok fungoval

Výskumníci útok nazvali „Pickle in the Middle" — využíva Python deserializáciu formátu pickle na spustenie škodlivého kódu. Útok prebiehal v niekoľkých krokoch:

  • Útočník vopred predpovedal názov predvoleného bucketu obete a vytvoril ho vo vlastnom projekte s voľnými prístupovými právami (bucket squatting),
  • pri nahrávaní modelu SDK nevedome odoslal artefakty do infraštruktúry útočníka,
  • škodlivá cloudová funkcia detegovala nahrávanie a v priebehu 2,5 sekundy vymenila modelový súbor za poisonovanú verziu,
  • pri načítaní modelu cez pickle deserializáciu sa spustil útočníkom kontrolovaný kód priamo vo Vertex AI prostredí.

Úspešné zneužitie umožňovalo útočníkovi extrahovať tokeny servisných účtov, pristupovať k ďalším modelom v rovnakom prostredí, enumerovať BigQuery datasety a zbierať informácie o internej infraštruktúre z cloudových logov. Kompromitované prihlasovacie údaje mali široký rozsah oprávnení, čo výrazne zvyšovalo dosah útoku.

Koho sa to týkalo

Zraniteľnosť postihovala organizácie využívajúce Vertex AI Python SDK vo verziách 1.139.0 a 1.140.0, ktoré pri nahrávaní modelov nevyužívali explicitne definovaný staging bucket — teda spoliehali sa na automaticky generovaný predvolený názov. Vertex AI je široko využívaná platforma pre tvorbu a nasadzovanie modelov strojového učenia v podnikovom prostredí.

Bezpečnostní experti upozorňujú, že táto zraniteľnosť je príkladom nového typu rizík v AI/ML pipeline — supply chain útoky už necielujú len na softvérové komponenty, ale priamo na modelové artefakty.

Čo robiť

Google vydal opravu v dvoch krokoch — najprv zavedením náhodného pomenovania bucketov pomocou UUID, následne pridaním explicitného overenia vlastníctva. Odporúčame:

  • aktualizovať Google Cloud AI Platform SDK na verziu 1.148.0 alebo novšiu,
  • explicitne definovať staging bucket namiesto spoliehania sa na predvolené hodnoty,
  • monitorovať integritu modelov počas nahrávania a nasadzovania,
  • zaviesť prísnejšie kontroly nad cloudovými úložiskami, identitou a validáciou modelov.

NAŠE SLUŽBY
Zdroj: Cyber Security News

Top privacy

"Kvalitný obsah netvoria copywriteri, ale odborníci."