Google Cloud の機械学習モデルアップロード機能に脆弱性が見つかり、修正版がリリースされました。攻撃者が被害者のプロジェクトIDだけで悪意あるモデルをすり替え、サーバー内でコード実行ができる可能性がありました。

何が起きたか：Google Cloud Vertex AI SDK for Python に、攻撃者が被害者のモデルアップロードを横取りできる脆弱性がありました。SDKが生成する一時的なストレージバケット名が予測可能だったため、攻撃者は先に同じ名前のバケットを自分のプロジェクトに作成し、被害者のモデルファイルをそこに保存させることができました。その後、攻撃者がモデルを悪意あるものに置き換えると、Vertex AIが読み込む際に攻撃者のコードが実行されました。

なぜ重要か：この脆弱性は、被害者のプロジェクトIDだけで成立し、認証情報やフィッシング、プロジェクトへのアクセス権が不要でした。攻撃者が実行したコードからは OAuth トークンが盗まれ、そのトークンは同じ Google 管理テナント内の他のモデルデータや BigQuery メタデータ、アクセスリスト、ログ、GKE クラスター名など、広い範囲のリソースへのアクセスが可能だったとみられます。

注目点：Palo Alto Networks Unit 42 が 2026年3月5日に報告し、Google は 2026年3月31日に v1.144.0 で初期修正、2026年4月15日に v1.148.0 でバケット所有権検証を追加して完全に対応しました。ユーザーは v1.148.0 以降にアップデートし、明示的に staging_bucket パラメータを設定することが推奨されています。