Μια πρόσφατη ανησυχητική ευπάθεια που εντοπίστηκε στο Google Cloud Vertex AI μπορεί να έχει επιτρέψει σε κακόβουλους εισβολείς να παραβιάσουν μοντέλα μηχανικής εκμάθησης και να εκτελούν κακόβουλο κώδικα σε περιβάλλοντα θυμάτων. Αυτή η ανακάλυψη, που κοινοποιήθηκε στη Google στο πλαίσιο υπεύθυνης αποκάλυψης, έχει σοβαρές επιπτώσεις για τους χρήστες στον τομέα της τεχνολογίας.
Το πρόβλημα αφορά το Vertex AI Python SDK (google-cloud-aiplatform) και προκύπτει από τη συνδυασμένη έλλειψη ασφαλούς ονοματολογίας των κάδων αποθήκευσης και ελλιπή επικύρωση των δικαιωμάτων ιδιοκτησίας. Σύμφωνα με ερευνητές της Unit42, οι εκδόσεις 1.139.0 και 1.140.0 εκθέτουν τους οργανισμούς σε σημαντικούς κινδύνους, όπως η δηλητηρίαση των μοντέλων και η απομακρυσμένη εκτέλεση κώδικα (RCE), χωρίς να απαιτείται αρχική πρόσβαση στα έργα της υποδομής τους.
Το Vertex AI αποτελεί μια δημοφιλή πλατφόρμα για την ανάπτυξη μοντέλων μηχανικής εκμάθησης. Όταν οι προγραμματιστές μεταφορτώνουν μοντέλα μέσω του SDK, τα τεχνουργήματα τοποθετούνται προσωρινά σε έναν κάδο Google Cloud Storage (GCS) πριν την ανάπτυξή τους. Αυτός ο τρόπος αποθήκευσης, όμως, ενέχει κινδύνους που μπορεί να οδηγήσουν σε εκτενείς επιθέσεις.
Εκμετάλλευση Google Vertex AI
Η ευπάθεια προκύπτει όταν οι χρήστες παραλείπουν να καθορίσουν έναν κάδο σταδίου, γεγονός που επιτρέπει στο SDK να δημιουργήσει έναν κάδο με προδιαγεγραμμένο όνομα. Εδώ, το SDK επαληθεύει μόνο την ύπαρξη του κάδου, χωρίς να ελέγχει αν ανήκει στο σωστό έργο, ενδυναμώνοντας την ευκαιρία για πειρατεία.
Η τεχνική που χρησιμοποιείται ονομάζεται “bucket squatting”, όπου ένας εισβολέας δημιουργεί εκ των προτέρων έναν κάδο με το αναμενόμενο όνομα στο δικό του έργο. Ως αποτέλεσμα, τα μοντέλα που ανεβάζουν οι χρήστες μεταφέρονται αθόρυβα στις υποδομές του εισβολέα.
Οι ερευνητές του Unit42 ονόμασαν αυτή τη μέθοδο εκμετάλλευσης “Pickle in the Middle”, καθώς στηρίζεται στην αποσειροποίηση του pickle της Python για να επιτευχθεί η εκτέλεση κακόβουλου κώδικα. Η επίθεση πραγματοποιείται σε διάφορα στάδια:
- Ο εισβολέας προβλέπει το προεπιλεγμένο όνομα του κάδου του θύματος και το δημιουργεί με επιτρεπτά δικαιώματα πρόσβασης.
- Όταν το θύμα ανεβάζει ένα μοντέλο, το SDK στέλνει, χωρίς γνώση του, τα τεχνουργήματα στον κάδο του εισβολέα.
- Μια κακόβουλη cloud συνάρτηση εντοπίζει τη μεταφόρτωση και αντικαθιστά το αρχείο μοντέλου σχεδόν αμέσως.
- Το δηλητηριασμένο μοντέλο αναπτύσσεται από την υποδομή AI της Vertex.
- Κατά τη φορτισή του, η αποσειροποίηση του pickle εκτελεί κώδικα ελεγχόμενο από τον εισβολέα.
Αυτή η διαδικασία γίνεται μέσα σε περίπου 2,5 δευτερόλεπτα, δίνοντας στον εισβολέα την ευκαιρία να αντικαταστήσει το μοντέλο πριν καταναλωθεί από τους υπηρεσίες της Google.
.webp)
Με την επιτυχή εκμετάλλευση, οι εισβολείς μπορούν να αποκτήσουν πλήρη απομακρυσμένη πρόσβαση σε περιβάλλοντα του Vertex AI. Κατά τη διάρκεια ελέγχων, οι επιτιθέμενοι μπόρεσαν να:
- Εξάγουν διαπιστευτήρια υπηρεσιών από τον διακομιστή μεταδεδομένων.
- Πρόσβαση σε άλλα αποθηκευμένα μοντέλα εντός του ίδιου περιβάλλοντος.
- Συγκεντρώσουν δεδομένα και δικαιώματα από BigQuery.
- Αποκτήσουν λεπτομέρειες για την εσωτερική υποδομή από αρχεία καταγραφής cloud.
Αξιοσημείωτο είναι ότι οι παραβιασμένες διαπιστεύσεις είχαν εκτενή δικαιώματα κοντά στο πλήρες φάσμα της πλατφόρμας cloud, γεγονός που αυξάνει σημαντικά τον κίνδυνο της επίθεσης.
Σύμφωνα με τους ερευνητές της Unit42 της Palo Alto Networks, η ευπάθεια προέρχεται από την λογική σταδιοποίησης μέσα στη μονάδα gcs_utils.py, όπου τα ονόματα κάδων δημιουργούνται με προβλέψιμο τρόπο και μόνο επιβεβαιώνεται η ύπαρξή τους.
Αυτή η σχεδιαστική αδυναμία προκάλεσε την κακή διαχείριση πόρων μεταξύ έργων, διαταράσσοντας την απομόνωση που αφορά τους ενοίκους.
Διορθώσεις και Μετριασμός
Η Google αντέδρασε γρήγορα στο πρόβλημα με αρκετές αναβαθμίσεις. Η πρώτη διορθωτική συντήρηση εισήγαγε τυχαία ονομασία κάδων μέσω UUID, ενώ μια δεύτερη προσέθεσε ρητή επαλήθευση της ιδιοκτησίας του κάδου.
Οι ευπάθειες διορθώθηκαν πλήρως στην έκδοση 1.148.0, που κυκλοφόρησε στις 15 Απριλίου 2026.
Οι προγραμματιστές καλούνται να:
- Αναβαθμίσουν στο Google Cloud AI Platform έκδοση 1.148.0 ή νεότερη.
- Ορίζουν ρητά τους κάδους σταδίου αντί να βασίζονται σε προεπιλογές.
- Ελέγχουν την ακεραιότητα των μοντέλων κατά τη διάρκεια των διαδικασιών μεταφόρτωσης και ανάπτυξης.
Η ευπάθεια αναφέρθηκε μέσω του Προγράμματος επιβράβευσης ευπαθειών της Google και εντοπίστηκε με υψηλή σοβαρότητα. Η Google ανέπτυξε διορθώσεις γρήγορα μετά την ανακάλυψη τον Μάρτιο του 2026.
Οι ειδικοί στον τομέα της ασφάλειας τονίζουν αυτή την περίπτωση ως κρίσιμο παράδειγμα των κινδύνων που προκύπτουν από τους αγωγούς AI/ML, όπου οι επιθέσεις τυπολογίας αλυσίδας εφοδιασμού μπορούν να επηρεάσουν τα τεχνουργήματα μοντέλων και όχι μόνο παραδοσιακά λογισμικά.
Οι οργανισμοί που αξιοποιούν διαχειριζόμενες πλατφόρμες τεχνητής νοημοσύνης καλούνται να υιοθετούν αυστηρότερους ελέγχους σχετικά με την αποθήκευση, την ταυτοποίηση και την επαλήθευση μοντέλων για να προλαμβάνουν παρόμοιες επιθέσεις.
## Η άποψη του TechNoid.gr
Η πρόσφατη ευπάθεια στο Google Cloud Vertex AI επισημαίνει τις σύνθετες προκλήσεις που σχετίζονται με την ασφάλεια στον τομέα της μηχανικής εκμάθησης. Η ανάγκη για αυστηρότερη διαχείριση και έλεγχο των πόρων είναι πιο επιτακτική από ποτέ. Ο κίνδυνος απομακρυσμένης εκτέλεσης κώδικα μπορεί να έχει σοβαρές επιπτώσεις στα δεδομένα και τις υποδομές των οργανισμών. Καθώς οι επιθέσεις σε πλατφόρμες AI αυξάνονται, είναι κρίσιμο οι πολυάριθμοι φορείς να ενσωματώσουν βέλτιστες πρακτικές και ασφαλείς στρατηγικές για να προστατεύσουν τη δραστηριότητά τους. Η συνεχής παρακολούθηση και η ενημέρωση των υποδομών τους θα αποτελέσουν την πρώτη γραμμή άμυνας απέναντι σε παρόμοιες απειλές στο μέλλον.
