Netcrook Logo
👤 NEURALSHIELD
🗓️ 10 Apr 2026   🌍 North America

À l’intérieur de l’agent double IA : comment Vertex AI de Google Cloud pourrait se retourner contre vous

Des vulnérabilités critiques dans Vertex AI de Google Cloud montrent comment des agents IA mal configurés peuvent devenir des menaces internes - exposant des secrets d’infrastructure et permettant des attaques persistantes.

Imaginez déployer un agent IA pour rationaliser vos opérations cloud - pour découvrir qu’il cartographie discrètement votre infrastructure, récolte des identifiants et prépare un coup d’État silencieux. Ce n’est pas le scénario d’un thriller cybernétique, mais la réalité glaçante révélée par l’équipe Unit 42 de Palo Alto Networks lors de leur enquête sur le moteur d’agent Vertex AI de Google Cloud. Leurs recherches montrent comment une simple erreur de configuration de ces puissants agents IA peut les transformer de collaborateurs de confiance en agents doubles, capables de menacer la sécurité du cloud des clients comme celle de Google lui-même.

Anatomie d’un agent double

Vertex AI, la plateforme phare de Google Cloud pour la création et le déploiement d’agents IA, propose des outils avancés comme le moteur d’agent et le kit de développement d’applications (ADK). Pourtant, derrière cette promesse se cache une faille critique : les permissions par défaut accordées au Per-Product Service Agent (P4SA), un compte de service géré par Google. En exploitant ces privilèges généreux, les chercheurs ont démontré comment un agent compromis ou mal configuré pouvait accéder à des identifiants internes et à des fichiers sensibles - franchissant potentiellement la frontière entre outil utile et saboteur furtif.

Parmi les fichiers découverts figuraient Dockerfile.zip - détaillant la manière dont Google construit ses environnements d’agents virtuels, avec des informations internes sur les projets et des emplacements de stockage privés - et code.pkl, un fichier Python sérialisé contenant le code de l’agent IA. Ce dernier est particulièrement dangereux : s’il est altéré, il peut exécuter des commandes arbitraires, offrant aux attaquants un accès persistant et la capacité de contrôler les actions de l’agent sans être détectés.

Le risque est aggravé par le fait que les portées OAuth 2.0 par défaut attribuées au moteur d’agent sont beaucoup trop larges, couvrant des services comme Gmail, Calendar et Drive. Bien que des contrôles supplémentaires existent, cette portée excessive viole le principe du moindre privilège et augmente la surface d’attaque pour des mouvements latéraux au sein des organisations.

Atténuation et perspectives

Google a réagi en renforçant la documentation et en incitant les clients à remplacer les comptes de service par défaut par des comptes personnalisés aux privilèges minimaux. Des contrôles empêchent désormais les agents de service de modifier les images de production, réduisant le risque d’empoisonnement généralisé des images. Pourtant, les experts avertissent que le véritable défi est culturel : les agents IA, avec leur autonomie et leur accès, doivent être considérés non comme de simples outils passifs mais comme des identités critiques nécessitant une surveillance continue, des audits rigoureux et une stricte isolation.

La leçon est claire. À mesure que les agents IA deviennent toujours plus essentiels aux opérations cloud, leur potentiel à amplifier à la fois la productivité et les risques croît de façon exponentielle. Les organisations doivent dépasser la confiance aveugle - et adopter une approche axée sur la sécurité, reconnaissant ces agents comme de puissants alliés mais aussi, s’ils sont négligés, comme de possibles agents doubles tapis à découvert.

WIKICROOK

  • Compte de service : Un compte de service est un compte non humain créé pour que des logiciels ou des processus automatisés effectuent des tâches système, souvent avec des privilèges étendus.
  • Exécution de code à distance (RCE) : L’exécution de code à distance (RCE) se produit lorsqu’un attaquant exécute son propre code sur le système d’une victime, menant souvent à un contrôle total ou à la compromission de ce système.
  • Portée OAuth 2.0 : La portée OAuth 2.0 spécifie les permissions dont une application a besoin pour accéder à certaines ressources utilisateur, limitant l’accès et renforçant la sécurité lors des interactions API.
  • Pickle (Python) : Pickle est le module de sérialisation d’objets de Python. Il présente des risques de sécurité, car charger des données altérées peut exécuter du code malveillant. À utiliser avec précaution.
  • Principe du moindre privilège : Le principe du moindre privilège limite l’accès des utilisateurs et des systèmes à ce qui est strictement nécessaire, réduisant les risques et renforçant la cybersécurité organisationnelle.
AI Security Google Cloud Insider Threats
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news