Falha no Google Cloud permite sequestro de modelos de ML
Uma vulnerabilidade no SDK do Google Cloud Vertex AI para Python permitiu que um atacante, sem acesso ao projeto da vítima, sequestrasse modelos de aprendizado de máquina e executasse código na infraestrutura de serviços do Google. A técnica, chamada de “Pickle in the Middle” pela Palo Alto Networks Unit 42, foi descoberta e relatada através do programa de recompensas por vulnerabilidades do Google. O problema estava na forma como o SDK gerava nomes de buckets temporários para uploads de modelos. Se o usuário não especificasse um bucket, o SDK criava um nome previsível a partir do ID do projeto e da região, permitindo que um atacante criasse o bucket esperado em seu próprio projeto. Assim, o modelo da vítima era enviado para o bucket do atacante, que poderia substituí-lo por um modelo malicioso. Esse modelo, ao ser carregado pelo Vertex AI, executava código malicioso, permitindo o roubo de tokens OAuth e acesso a outros artefatos do projeto. A falha foi corrigida nas versões 1.148.0 e posteriores do SDK, e recomenda-se que os usuários atualizem e especifiquem um bucket de armazenamento controlado ao fazer uploads de modelos.
