Se ha divulgado una vulnerabilidad crítica en Google Cloud Vertex AI, específicamente en su componente Vertex AI Experiments, que expone a las organizaciones a riesgos severos en su infraestructura de aprendizaje automático. Registrada bajo el identificador CVE-2026-2473, esta falla de diseño permite a atacantes remotos no autenticados cruzar las barreras de inquilinos (cross-tenant) para lograr la ejecución remota de código, robar modelos de IA propietarios y envenenar conjuntos de datos. El problema central radica en el uso de nombres predecibles para la creación de repositorios de almacenamiento en la nube.
Anatomía del Ataque
El vector de ataque principal explota una técnica conocida como Bucket Squatting (ocupación o secuestro de buckets), facilitada por el algoritmo de asignación de recursos de la plataforma:
- Nomenclatura Predecible: Las versiones afectadas de Vertex AI Experiments (desde la 1.21.0 hasta antes de la 1.133.0) utilizan un patrón predecible para nombrar los buckets de Google Cloud Storage (GCS) que se aprovisionan automáticamente para guardar datos de entrenamiento, pesos de modelos y registros de evaluación.
- Ocupación (Squatting): Un atacante externo puede deducir algorítmicamente los nombres exactos de los buckets que Vertex AI intentará crear para el proyecto de una víctima en el futuro. El atacante se adelanta y registra esos nombres de buckets bajo su propio control en GCP.
- Secuestro del Flujo de Trabajo: Cuando el entorno de la víctima inicia un experimento, el sistema de Vertex AI asume erróneamente que el bucket (que ya existe) es seguro y le pertenece. En lugar de crear un entorno aislado nuevo, comienza a leer y escribir datos en el bucket controlado por el atacante.
- Exfiltración y Envenenamiento: Una vez que la víctima deposita sus datos, el atacante puede extraer y robar silenciosamente los modelos de IA (propiedad intelectual). Aún más grave, el atacante puede inyectar código malicioso o alterar los datos de entrenamiento (Model Poisoning). Cuando el sistema de la víctima carga el modelo manipulado para su ejecución, se desencadena una Ejecución Remota de Código (RCE) indirecta dentro del entorno del cliente.
(Nota: En paralelo, Google también documentó el CVE-2026-2472, un XSS almacenado en el SDK de Python google-cloud-aiplatform que permitía a un atacante ejecutar JavaScript arbitrario en el entorno Jupyter o Colab de la víctima al inyectar secuencias de escape en los datos de evaluación del modelo).
Impacto
Esta vulnerabilidad representa un riesgo crítico de pérdida de confidencialidad e integridad. La capacidad de ejecutar un ataque cross-tenant significa que el aislamiento fundamental de la nube pública es evadido. Los atacantes pueden robar algoritmos y modelos fundacionales que cuestan millones en desarrollo, además de comprometer la infraestructura de producción inyectando código malicioso directamente en la cadena de suministro de IA de la organización objetivo, todo sin requerir credenciales previas de la víctima.
Recomendaciones y Mitigación Inmediata
Aunque Google ha aplicado mitigaciones en la infraestructura base, los clientes que gestionan sus propios entornos deben aplicar correcciones inmediatas en su código:
- Actualización Urgente de Dependencias: Todos los entornos de desarrollo, notebooks y pipelines de CI/CD deben actualizar obligatoriamente el SDK de Python google-cloud-aiplatform a la versión 1.131.0 o superior, y el componente de Vertex AI Experiments a la versión 1.133.0 o superior para eliminar la lógica de generación predecible y parchear el XSS.
- Auditoría de Cloud Storage: Los equipos de operaciones en la nube (SecOps) deben auditar inmediatamente los permisos IAM de todos los buckets de almacenamiento asociados a proyectos de Vertex AI, garantizando que solo las Cuentas de Servicio (Service Agents) internas legítimas tengan privilegios de lectura/escritura.
- Implementación de Verificación de Integridad: Se deben establecer controles estrictos en los pipelines de MLOps para verificar criptográficamente (mediante hashes o firmas) la integridad de los modelos descargados desde Cloud Storage antes de su despliegue en entornos de inferencia o producción.
- Monitoreo de Anomalías IAM: Configurar alertas en Google Cloud Logging para detectar cualquier intento de creación de recursos o modificaciones de políticas IAM que involucren identidades externas (cuentas fuera del dominio de la organización) interactuando con los buckets de ML.
