文章总结： 报告披露GoogleCloudVertexAIAgentEngine存在严重安全风险，攻击者可通过恶意AI代理利用默认服务账号过高权限实现数据窃取和内部资源访问。根本成因包括服务账号权限过度、不安全的pickle序列化和宽松的OAuthscopes设置。建议采用BYOSA策略实施最小权限原则、收紧OAuth范围并加强ArtifactRegistry访问控制以降低风险。 综合评分： 87 文章分类： AI安全,云安全,漏洞分析,安全建设,解决方案

AI安全案例分析 | Vertex AI 双面间谍攻击分析

原创

天元实验室 天元实验室

M01N Team

2026年4月8日 18:01 北京

概述

Palo Alto Networks Unit 42 于 2026 年 3 月 31 日发布的报告，详细披露了 Google Cloud Vertex AI Agent Engine 中存在的一项严重安全风险。攻击者可通过构造恶意 AI 代理，利用其默认服务账号的过高权限，在无需任何额外提权的情况下，实现数据窃取、内部镜像下载，甚至潜在的代码执行。

01 攻击原理核心

Vertex AI Agent Engine 在部署 AI 代理时，默认使用 Per-Project, Per-Product Service Agent（P4SA）服务账号，其格式通常为 [email protected]。该账号被授予的权限范围远超代理实际运行所需，为攻击提供了可乘之机。

02 攻击流程

1. 攻击者通过 Google Cloud Agent Development Kit（ADK）构建恶意代理，并将核心恶意代码打包成 pickle 格式的 code.pkl 文件；
2. 代理运行时自动访问 Google 元数据服务，获取 P4SA 服务账号的访问令牌、项目信息以及 OAuth scopes；
3. 利用获取到的凭证，读取消费者项目内的 Cloud Storage 存储桶内容；
4. 进一步访问 Google 内部受限的 Artifact Registry 仓库（如 us-docker.pkg.dev/cloud-aiplatform-private/reasoning-engine），成功下载官方容器镜像、Dockerfile 及相关依赖文件。

报告中完整展示了从凭证提取到跨项目资源访问的全过程。攻击者甚至从中获取了谷歌内部 Dockerfile 中硬编码的存储桶路径和项目信息。

03 根本成因分析

1. 服务账号权限过度：P4SA默认拥有storage.buckets.get、storage.buckets.list、storage.objects.get等权限，能够遍历并读取项目内多数Cloud Storage资源。官方文档虽有记录，但实际部署时经常被忽略。
2. 不安全的序列化方式：Vertex AI Agent Engine使用Python pickle序列化代理代码。Python官方文档明确指出，从不可信来源加载pickle存在任意代码执行风险。攻击者修改code.pkl即可在运行时注入恶意操作。
3. OAuth 2.0 scopes设置宽松：报告指出默认分配的 OAuth 2.0 scopes 过于宽松且无法编辑，这可能将访问范围扩展到 Google Workspace 服务（Gmail、Google Calendar、Google Drive 等）。这一默认配置属于结构性安全弱点。

04 潜在影响评估

• 数据泄露风险：攻击者可静默读取项目内敏感文件，整个过程几乎无明显告警，隐蔽性极高；
• 供应链攻击潜力：获取谷歌内部 Artifact Registry 镜像后，攻击者能够逆向分析 Vertex AI 的实现细节，进而构造更高级的逃逸或绕过技术；
• 持久化后门：恶意代理在每次正常调用时均执行窃取逻辑，常规日志难以区分，易实现长期潜伏；
• 横向移动能力：若 OAuth scopes 涉及 Workspace 服务，可能导致敏感数据在企业级范围内扩散，形成更大范围的 compromise。

05 缓解措施建议

谷歌在收到 Unit 42 报告后，已更新官方文档，明确说明了 Vertex AI 资源、账号及代理的使用规范。但要真正提升安全水平，仍需用户主动加固配置。推荐采取以下措施：

1. 强制使用 Bring Your Own Service Account（BYOSA） 放弃默认的 P4SA 服务账号，创建专用服务账号并严格遵循最小权限原则（Principle of Least Privilege），仅授予代理实际运行所需的权限。在 Agent Engine 配置中明确指定该自定义账号。
2. 收紧 OAuth 2.0 scopes 默认 scopes 过于宽松且无法直接编辑，存在显著凭证滥用风险。建议结合 BYOSA 配置，进一步限制整体访问范围，避免不必要的服务暴露。
3. 谨慎使用 pickle 序列化 由于 pickle 存在固有的任意代码执行风险，建议优先采用其他更安全的序列化方式，或在可信隔离环境完成代码打包，并进行严格的代码审查和安全扫描。
4. 加强 Artifact Registry 访问控制 对 Google 内部及项目内的 Artifact Registry 仓库实施严格的访问限制，防止被 compromised 的服务账号下载受限镜像和内部依赖文件。

截至目前，AISS安全智链社区已收录百余条案例，涵盖多种AI安全风险，感兴趣的读者可前往 https://aiss.nsfocus.com/#/ai-cases 查看更多 AI 安全相关案例分析与最新研究。

06 总结

Vertex AI Agent Engine的双面间谍案例说明，AI代理快速部署带来的便利同时引入了新的权限滥用风险。使用Vertex AI Agent Engine的团队应尽快检查现有代理配置，优先采用BYOSA和最小权限设置，降低默认配置带来的隐患。

原文报告链接：https://unit42.paloaltonetworks.com/double-agents-vertex-ai/

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：M01N Team 天元实验室 天元实验室《AI安全案例分析 | Vertex AI 双面间谍攻击分析》