داخل العميل المزدوج للذكاء الاصطناعي: كيف يمكن لـ Vertex AI من Google Cloud أن ينقلب ضدك

تكشف ثغرات حرجة في Vertex AI من Google Cloud كيف يمكن لوكلاء الذكاء الاصطناعي سيئي الإعداد أن يتحولوا إلى تهديدات داخلية - مُعرِّضين أسرار البنية التحتية للخطر ومُمكِّنين هجمات مستمرة.

تخيّل أنك تنشر وكيلاً للذكاء الاصطناعي لتبسيط عملياتك السحابية - لتكتشف لاحقًا أنه كان بهدوء يرسم خريطة لبنيتك التحتية، ويجمع بيانات الاعتماد، ويخطط لانقلاب صامت. هذه ليست حبكة فيلم إثارة سيبراني، بل الواقع المقلق الذي كشفته Unit 42 التابعة لـ Palo Alto Networks في تحقيقها حول Agent Engine ضمن Vertex AI من Google Cloud. وتُظهر أبحاثهم كيف يمكن لخطأ واحد في تهيئة هؤلاء الوكلاء الأقوياء أن يحوّلهم من مساعدين موثوقين إلى عملاء مزدوجين، قادرين على تهديد أمن سحابة العملاء وكذلك أمن سحابة Google نفسها.

حقائق سريعة

عثرت Unit 42 التابعة لـ Palo Alto Networks على ثغرات حرجة في Agent Engine ضمن Vertex AI من Google Cloud.
تمنح حسابات الخدمة الافتراضية (P4SA) امتيازات واسعة، ما يجعلها أهدافًا جذابة للمهاجمين.
استخرج الباحثون بيانات اعتماد حساسة وملفات خاصة بـ Google، كاشفين تفاصيل البنية التحتية الأساسية.
قد يتيح التلاعب الخبيث بملفات كود وكيل الذكاء الاصطناعي أبوابًا خلفية دائمة وتنفيذًا عن بُعد للكود.
استجابت Google بإرشادات وضوابط جديدة، لكن المخاطر تُبرز الحاجة إلى إدارة صارمة للامتيازات.

تشريح العميل المزدوج

تُعد Vertex AI، منصة Google Cloud الرائدة لبناء ونشر وكلاء الذكاء الاصطناعي، وتوفر أدوات متقدمة مثل Agent Engine وApplication Development Kit (ADK). غير أن تحت هذا الوعد يكمن خلل حرج: الأذونات الافتراضية الممنوحة لـ Per-Product Service Agent (P4SA)، وهو حساب خدمة مُدار من Google. ومن خلال استغلال هذه الامتيازات السخية، برهن الباحثون كيف يمكن لوكيل مُخترق أو سيئ الإعداد أن يصل إلى بيانات اعتماد داخلية وملفات حساسة - متجاوزًا الحدود من أداة مفيدة إلى مُخرِّب متخفٍ.

ومن بين الملفات التي تم العثور عليها Dockerfile.zip - الذي يوضح كيف تبني Google بيئات الوكيل الافتراضية، بما في ذلك معلومات مشاريع داخلية ومواقع تخزين خاصة - وcode.pkl، وهو ملف Python مُسلسل يحتوي على كود وكيل الذكاء الاصطناعي. ويشكل الأخير خطرًا خاصًا: فإذا تم العبث به، يمكنه تنفيذ أوامر عشوائية، مانحًا المهاجمين موطئ قدم دائمًا وقدرة على التحكم في أفعال الوكيل دون اكتشاف.

ومما يزيد المخاطر، أن نطاقات OAuth 2.0 الافتراضية المُسندة إلى Agent Engine واسعة للغاية، وتمتد إلى خدمات مثل Gmail وCalendar وDrive. ورغم وجود ضوابط إضافية، فإن هذا الاتساع المفرط ينتهك مبدأ أقل قدر من الامتيازات ويزيد سطح الهجوم للحركة الجانبية داخل المؤسسات.

التخفيف والطريق إلى الأمام

استجابت Google بتشديد الوثائق وحث العملاء على استبدال حسابات الخدمة الافتراضية بأخرى مخصصة ذات امتيازات دنيا. كما تمنع الضوابط الآن وكلاء الخدمة من تعديل صور الإنتاج، ما يقلل خطر تسميم الصور على نطاق واسع. ومع ذلك، يحذر الخبراء من أن التحدي الحقيقي ثقافي: فالوكلاء، بما لديهم من استقلالية ووصول، يجب التعامل معهم لا كأدوات سلبية بل كهويات حرجة تتطلب إشرافًا أمنيًا مستمرًا، وتدقيقًا صارمًا، وعزلًا محكمًا.

الدرس واضح. فمع ازدياد اندماج وكلاء الذكاء الاصطناعي في عمليات السحابة، تتضاعف قدرتهم على تعزيز الإنتاجية والمخاطر على حد سواء بشكل أُسّي. وعلى المؤسسات أن تتجاوز الثقة العمياء - باعتماد عقلية تضع الأمن أولًا وتُدرك أن هؤلاء الوكلاء حلفاء أقوياء، وقد يصبحون، إن أُهملوا، عملاء مزدوجين محتملين يختبئون على مرأى من الجميع.

WIKICROOK

حساب الخدمة: حساب الخدمة هو حساب غير بشري يُنشأ للبرمجيات أو العمليات المؤتمتة لتنفيذ مهام النظام، وغالبًا ما يكون بصلاحيات واسعة.
تنفيذ الكود عن بُعد (RCE): تنفيذ الكود عن بُعد (RCE) هو عندما يشغّل المهاجم كوده الخاص على نظام الضحية، ما يؤدي غالبًا إلى السيطرة الكاملة على ذلك النظام أو اختراقه.
نطاق OAuth 2.0: يحدد نطاق OAuth 2.0 الأذونات التي يحتاجها تطبيق ما للوصول إلى موارد مستخدم معينة، بما يحد الوصول ويعزز الأمان في تفاعلات واجهات API.
Pickle (Python): Pickle هي وحدة تسلسل الكائنات في Python. وهي تنطوي على مخاطر أمنية، إذ إن تحميل بيانات تم العبث بها قد ينفذ كودًا خبيثًا. استخدمها بحذر.
مبدأ أقل قدر من الامتيازات: يقيّد مبدأ أقل قدر من الامتيازات وصول المستخدمين والأنظمة إلى ما هو ضروري فقط، ما يقلل المخاطر ويعزز الأمن السيبراني المؤسسي.