Investigadores de Unit 42 demostraron que el modelo de permisos por defecto permite convertir un agente de IA en un 'doble agente' que extrae credenciales y accede a buckets de almacenamiento del cliente sin autorización.
Investigadores de Palo Alto Networks Unit 42 revelaron el 31 de marzo de 2026 una vulnerabilidad de configuración en Google Cloud Vertex AI que permite a un atacante convertir un agente de IA desplegado en un "doble agente" capaz de exfiltrar credenciales y acceder sin autorización a los datos del cliente.
El fallo radica en el modelo de permisos por defecto del Per-Project, Per-Product Service Agent (P4SA), que otorga privilegios excesivos a los agentes desplegados mediante el Agent Development Kit (ADK) y Agent Engine. Google ha actualizado su documentación oficial tras la divulgación responsable y recomienda adoptar la arquitectura Bring Your Own Service Account (BYOSA) para mitigar el riesgo.
El vector de ataque explota el P4SA, una cuenta de servicio gestionada por Google que permite a los servicios de GCP acceder a recursos. Cuando un desarrollador despliega un agente de IA mediante Vertex AI Agent Engine, el sistema asigna automáticamente este service agent con permisos que resultan excesivos para las operaciones típicas del agente. Los investigadores demostraron que un agente malicioso o uno comprometido puede consultar el servicio de metadatos interno de Google para extraer las credenciales del P4SA y utilizarlas para saltar del contexto de ejecución del agente al proyecto del cliente, según detalla el informe técnico de Unit 42.
Con las credenciales comprometidas en su poder, un atacante obtiene acceso de lectura sin restricciones a todos los buckets de Google Cloud Storage dentro del proyecto consumidor. Esto transforma al agente de IA de una herramienta productiva en una amenaza interna capaz de exfiltrar datos sensibles almacenados en la nube del cliente.
El alcance no se limita a los datos del usuario: las credenciales también permiten acceder a repositorios restringidos del Artifact Registry de Google, donde se almacenan imágenes de contenedores privados que conforman el núcleo del Vertex AI Reasoning Engine. Acceder a este código propietario no solo expone propiedad intelectual de Google, sino que proporciona a un atacante un plano para identificar vulnerabilidades adicionales en la plataforma.
El equipo de investigación también identificó un archivo dentro del entorno del agente que podría manipularse para lograr ejecución remota de código, lo que permitiría establecer una puerta trasera persistente en la infraestructura del cliente. La combinación de acceso a datos, visibilidad de infraestructura interna y potencial de persistencia convierte esta configuración por defecto en un vector de ataque significativo para organizaciones que despliegan agentes de IA sin revisar los permisos asociados.
La documentación oficial de Vertex AI ahora documenta explícitamente cómo la plataforma utiliza recursos, cuentas y agentes, tras la colaboración entre Unit 42 y el equipo de seguridad de Google.
Para organizaciones en LATAM que están adoptando agentes de IA en sus flujos de trabajo empresariales, el hallazgo subraya la necesidad de tratar el despliegue de agentes con el mismo rigor que el código de producción. Google recomienda implementar BYOSA para reemplazar el service agent por defecto y aplicar el principio de mínimo privilegio, otorgando al agente únicamente los permisos estrictamente necesarios para su función.
El Agent Engine permite configurar identidades de agente mediante IAM para gestionar el acceso de forma granular. Los equipos de seguridad deben auditar los agentes actualmente desplegados, revisar sus OAuth scopes y validar los límites de permisos antes de continuar con operaciones en producción. La configuración segura no es opcional cuando el agente que debería ayudar puede convertirse en el adversario que exfiltra tu infraestructura.
FUENTE ORIGINAL
Unit 42 Palo Alto Networks↗CURADO POR
Alejandro Vargas