Ranjivost u Google Cloud Vertex AI omogućava preuzimanje i trovanje ML modela
Google Vertex AI ranjivost dozvoljavala preuzimanje ML modela i izvršavanje zlonamernог koda kroz bucket hijacking i pickle deserialization.
Šta se desilo?
Istraživači iz Palo Alto Networks (Unit42) otkrili su ozbiljnu ranjivost u Google Cloud Vertex AI Python SDK koja je omogućavala napadačima da preuzmu kontrolu nad ML modelima tokom učitavanja i izvrše zlonamerni kod. Problemi su postojali u verzijama 1.139.0 i 1.140.0 SDK-a i rezultat su kombinacije predvidive nomenklature Cloud Storage baketā i nedostatka validacije vlasništva.
Koga pogađa?
Napad je bio ozbiljna pretnja za sve organizacije koje koriste Google Cloud Vertex AI i prenosile ML modele bez eksplicitnog definisanja staging baketā. Zahvaćeni su bili razvijači, data science timovi i enterprise okruženja koja oslanjaju na managed AI platforme za razvoj i implementaciju mašinskog učenja.
Kako se zaštititi?
- Ažurirajte Google Cloud AI Platform na verziju 1.148.0 ili noviju
- Eksplicitno definirajte staging bakeт umesto da se oslanjate na automatski generirane bakete
- Pratite integritet modela tokom procesa učitavanja i implementacije
- Primenite stroga kontrola pristupa Cloud Storage resursima
- Redovno proverite dozvole i vlasništvo nad baketima u vašem okruženju
Tehnički detalji
Ranjivost je locirana u gcs_utils.py modulu SDK-a gde se imenovanje baketā vrši na predvidljiv način bez validacije vlasništva. Napadač je mogao prvo kreiritati baket sa očekivanim imenom u svom projektu, a zatim kada bi žrtva učitala model, SDK bi slao artefakte u napadačev bakет. Kroz tehniku zvanu "bucket squatting" i "Pickle in the Middle" napad, napadač je zamenjivao datoteke modela tokom uskog vremenskog prozora od 2.5 sekundi. Eksploatacija je omogućavala punu RCE u Vertex AI okruženju, pristup service account tokenima, enumeraciju drugih modela i pristup BigQuery setovima podataka. Google je izdao prve zakrpe sa randomizovanim imenima baketā korišćenjem UUID-a, a затim drugu zakrpu sa eksplicitnom validacijom vlasništva. Kompletno rešenje je dostupno od verzije 1.148.0 (15. april 2026).
Preporuka Sajber Radara
Ova ranjivost predstavlja kritičan primer rizika u AI/ML lancima snabdevanja. Organizacije trebaju hitno da ažuriraju svoje Vertex AI SDK verzije i primene dodatne kontrole oko upravljanja skladištem i validacije modela kako bi sprečile slične napade. Nije dovoljno oslanjati se samo na Google-ove zakrpe - potrebne su i dodatne kontrole na nivou aplikacije.
