谷歌Vertex AI SDK現漏洞 攻擊者可劫持模型上傳植惡意碼

資安研究人員近日發現，谷歌（Google）旗下機器學習平台 Vertex AI 的 Python 軟體開發套件（SDK）存在一項安全漏洞，可能讓未經授權的攻擊者劫持機器學習模型上傳過程，進而在谷歌的服務基礎設施中執行惡意程式碼。

根據派拓網路（Palo Alto Networks）旗下資安團隊 Unit 42 的報告，這項技術被他們命名為「Pickle in the Middle」。儘管該漏洞已被修復，但其揭示了雲端環境中可能存在的潛在風險。報告指出，攻擊者僅需擁有一個自己的 Google Cloud 專案，並得知受害者的專案 ID，便能發動攻擊，所幸目前尚未發現此漏洞被實際利用的情況。

這項漏洞源於 Vertex AI SDK 處理模型上傳至 Google雲端儲存（Cloud Storage）儲存桶的方式。當用戶未指定儲存桶時，SDK 會根據專案 ID 和區域生成一個可預測的臨時儲存桶名稱。然而，SDK 只會檢查該儲存桶是否存在，卻未驗證其所有權。由於儲存桶名稱在全球範圍內都是獨一無二的，攻擊者可以預先建立好這個可預測名稱的儲存桶，導致受害者的模型檔案被上傳至攻擊者控制的儲存桶中。

一旦模型上傳至攻擊者的儲存桶，攻擊者便能在 Vertex AI 讀取檔案之前，迅速將惡意模型替換原始模型。研究人員實證，在受害者模型上傳與 Vertex AI 讀取檔案之間的約 2.5 秒空檔內，攻擊者可在 1.4 秒內完成替換。惡意模型一旦載入，就能在 Vertex AI 的服務容器內執行攻擊者的程式碼，例如竊取 OAuth 授權憑證（類似於帳號的通行證）等敏感資訊。

此攻擊的成功需滿足特定條件：受害者預設的臨時儲存桶在該區域尚未存在，且受害者沒有手動設定 staging_bucket 參數。Unit 42 已於 2026 年 3 月 5 日透過谷歌的漏洞獎勵計畫通報此問題。谷歌於 3 月 31 日在 SDK v1.144.0 版本中發布初步修復，為儲存桶名稱添加隨機通用唯一識別碼（uuid4）。隨後在 4 月 15 日釋出的 v1.148.0 版本中，谷歌完成了全面修復，加入了儲存桶所有權驗證機制，以阻止此類「儲存桶佔用」（bucket squatting）攻擊。

值得注意的是，這已是今年 Vertex AI 平台發現的第二個可預測儲存桶名稱漏洞。谷歌曾在今年 2 月修補了另一個編號為 CVE-2026-2473 的漏洞，該漏洞同樣存在於 Vertex AI Experiments 服務中，允許跨租戶程式碼執行、模型竊取和污染等行為。台灣的開發者與企業，特別是利用 Google Cloud Vertex AI 進行機器學習模型部署的用戶，應確保其 SDK 已更新至最新版本，以避免遭受類似的安全威脅。