En este documento, se proporciona una descripción general de Agent Engine Threat Detection y sus detectores.
Agent Engine Threat Detection es un servicio integrado de Security Command Center que te ayuda a detectar e investigar posibles ataques contra agentes de IA implementados en el entorno de ejecución de Vertex AI Agent Engine. Si el servicio de Agent Engine Threat Detection detecta un posible ataque, genera un hallazgo en Security Command Center casi en tiempo real.
La Detección de amenazas de Agent Engine supervisa los agentes de IA compatibles y detecta las amenazas de tiempo de ejecución más comunes. Las amenazas en tiempo de ejecución incluyen la ejecución de archivos binarios o secuencias de comandos maliciosos, la fuga de contenedores, los shells inversos y el uso de herramientas de ataque dentro del entorno del agente.
Además, los detectores del plano de control de Event Threat Detection analizan varios registros de auditoría (incluidos los registros de Identity and Access Management, BigQuery y Cloud SQL) y los registros de Vertex AI Agent Engine (stdout y stderr) para detectar actividad sospechosa. Las amenazas al plano de control incluyen intentos de filtración de datos, denegaciones de permisos excesivas y generación sospechosa de tokens.
Beneficios
La Detección de amenazas de Agent Engine ofrece los siguientes beneficios:
- Reduce el riesgo de forma proactiva para las cargas de trabajo de IA. La Detección de amenazas de Agent Engine te ayuda a detectar amenazas y responder a ellas de forma anticipada supervisando el comportamiento y el entorno de tus agentes de IA.
- Administra la seguridad de la IA en una ubicación unificada. Los resultados de la detección de amenazas de Agent Engine aparecen directamente en Security Command Center. Tienes una interfaz central para ver y administrar los hallazgos de amenazas junto con otros riesgos de seguridad en la nube.
Cómo funciona
La Detección de amenazas de Agent Engine recopila datos de telemetría de los agentes de IA alojados para analizar procesos, secuencias de comandos y bibliotecas que podrían indicar un ataque en el tiempo de ejecución. Cuando Agent Engine Threat Detection detecta una posible amenaza, hace lo siguiente:
Agent Engine Threat Detection ejecuta un proceso de supervisión para recopilar información sobre eventos mientras se ejecuta la carga de trabajo de agente. El proceso de supervisión puede tardar hasta un minuto en iniciarse y recopilar información.
Agent Engine Threat Detection analiza la información de eventos recopilada para determinar si un evento indica un incidente. La detección de amenazas de Agent Engine usa el procesamiento de lenguaje natural (PLN) para analizar secuencias de comandos de Bash y Python en busca de código malicioso.
Si la Detección de amenazas de Agent Engine identifica un incidente, lo informa como un hallazgo en Security Command Center.
Si la Detección de amenazas de Agent Engine no identifica un incidente, no almacena ninguna información.
Todos los datos recopilados se procesan en la memoria y no persisten después del análisis, a menos que se identifiquen como un incidente y se informen como un hallazgo.
Para obtener información sobre cómo revisar los resultados de Agent Engine Threat Detection en la consola deGoogle Cloud , consulta Revisa los resultados.
Detectores
En esta sección, se enumeran los detectores del entorno de ejecución y del plano de control que supervisan los agentes de IA implementados en el entorno de ejecución de Vertex AI Agent Engine.
Detectores de tiempo de ejecución
Agent Engine Threat Detection incluye los siguientes detectores de tiempo de ejecución:
| Nombre visible | Nombre del módulo | Descripción |
|---|---|---|
| Ejecución: Se ejecutó un objeto binario malicioso agregado (versión preliminar) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
Un proceso ejecutó un objeto binario que la inteligencia sobre amenazas identifica como malicioso. Este objeto binario no formaba parte de la carga de trabajo original del agente. Este evento sugiere claramente que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Ejecución: Se cargó la biblioteca maliciosa agregada (versión preliminar) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
Un proceso cargó una biblioteca que la inteligencia de amenazas identifica como maliciosa. Esta biblioteca no formaba parte de la carga de trabajo del agente original. Este evento sugiere que es probable que un atacante tenga el control de la carga de trabajo y esté ejecutando software malicioso. |
| Ejecución: Se ejecutó un objeto binario malicioso integrado (versión preliminar) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Un proceso ejecutó un objeto binario que la inteligencia sobre amenazas identifica como malicioso. Este objeto binario era parte de la carga de trabajo original del agente. Este evento podría sugerir que un atacante está implementando una carga de trabajo maliciosa. Por ejemplo, es posible que el atacante haya obtenido el control de una canalización de compilación legítima y haya inyectado el objeto binario malicioso en la carga de trabajo del agente. |
| Ejecución: Escape del contenedor (versión preliminar) | AGENT_ENGINE_CONTAINER_ESCAPE |
Un proceso que se ejecuta dentro del contenedor intentó eludir el aislamiento del contenedor con objetos binarios o técnicas de explotación conocidos, que la inteligencia sobre amenazas identifica como amenazas potenciales. Un escape exitoso puede permitir que un atacante acceda al sistema host y, potencialmente, comprometa todo el entorno. Esta acción sugiere que un atacante está aprovechando vulnerabilidades para obtener acceso no autorizado al sistema host o a una infraestructura más amplia. |
| Ejecución: Se detectó la ejecución de la herramienta de ataque de Kubernetes (versión preliminar) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
Un proceso ejecutó una herramienta de ataque específica de Kubernetes, que la inteligencia sobre amenazas identifica como una amenaza potencial. Esta acción sugiere que un atacante obtuvo acceso al clúster y está usando la herramienta para aprovechar vulnerabilidades o parámetros de configuración específicos de Kubernetes. |
| Ejecución: Se detectó la ejecución de la herramienta de reconocimiento local (versión preliminar) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Un proceso ejecutó una herramienta de reconocimiento local que no suele formar parte de la carga de trabajo del agente. La inteligencia sobre amenazas identifica estas herramientas como amenazas potenciales. Este evento sugiere que un atacante está intentando recopilar información interna del sistema, como asociar la infraestructura, identificar vulnerabilidades o recopilar datos sobre los parámetros de configuración del sistema. |
| Ejecución: Se ejecutó un código de Python malicioso (versión preliminar) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
Un modelo de aprendizaje automático identificó código de Python ejecutado como malicioso. Un atacante puede usar Python para descargar herramientas o archivos en un entorno vulnerado y ejecutar comandos sin usar objetos binarios. El detector usa el procesamiento de lenguaje natural (PLN) para analizar el contenido del código de Python. Dado que este enfoque no se basa en firmas, los detectores pueden identificar código de Python malicioso conocido y nuevo. |
| Ejecución: Se ejecutó un objeto binario malicioso modificado (versión preliminar) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Un proceso ejecutó un objeto binario que la inteligencia sobre amenazas identifica como malicioso. Este objeto binario formaba parte de la carga de trabajo original del agente, pero se modificó durante el tiempo de ejecución. Este evento sugiere que un atacante podría tener el control de la carga de trabajo y estar ejecutando software malicioso. |
| Ejecución: Se cargó una biblioteca maliciosa modificada (vista previa) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Un proceso cargó una biblioteca que la inteligencia de amenazas identifica como maliciosa. Esta biblioteca formaba parte de la carga de trabajo original del agente, pero se modificó durante el tiempo de ejecución. Este evento sugiere que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Se ejecutó una secuencia de comandos maliciosa (versión preliminar) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
Un modelo de aprendizaje automático identificó código Bash que se ejecutó de forma maliciosa. Un atacante puede usar Bash para descargar herramientas o archivos en un entorno vulnerado y ejecutar comandos sin usar objetos binarios. El detector usa el PLN para analizar el contenido del código de Bash. Dado que este enfoque no se basa en firmas, los detectores pueden identificar código Bash malicioso conocido y nuevo. |
| Se detectó una URL maliciosa (versión preliminar) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
La Detección de amenazas de Agent Engine observó una URL maliciosa en la lista de argumentos de un proceso en ejecución. El detector compara estas URLs con las listas de recursos web no seguros que mantiene el servicio de Navegación segura de Google. Si crees que Google clasificó de forma incorrecta una URL como un sitio de phishing o malware, informa el problema en Reporting Incorrect Data. |
| Shell inversa (vista previa) | AGENT_ENGINE_REVERSE_SHELL |
Es un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado. El detector busca Una shell inversa permite que un atacante se comunique desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo, por ejemplo, como parte de una botnet. |
| Shell secundaria inesperada (versión preliminar) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
Un proceso que, por lo general, no invoca shells generó de forma inesperada un proceso de shell. El detector supervisa las ejecuciones de procesos y genera un hallazgo cuando un proceso principal conocido genera una shell de forma inesperada. |
Detectores del plano de control
En esta sección, se describen los detectores del plano de control de Event Threat Detection que están diseñados específicamente para los agentes de IA implementados en el entorno de ejecución de Vertex AI Agent Engine. Event Threat Detection también tiene detectores para amenazas generales relacionadas con la IA.
Estos detectores del plano de control están habilitados de forma predeterminada. Estos detectores se administran de la misma manera que los demás detectores de Event Threat Detection. Para obtener más información, consulta Usa Event Threat Detection.
| Nombre visible | Nombre de la API | Tipos de fuente del archivo de registro | Descripción |
|---|---|---|---|
| Discovery: Evidence of Port Scanning from AI Agent (versión preliminar) | AGENT_ENGINE_PORT_SCANNING_EVIDENCE |
Registros del motor del agente: Registros del motor del agente |
Un agente de IA mostró un comportamiento de análisis de puertos horizontal o vertical. De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
| Descubrimiento: Llamada no autorizada a la API de Service Account por parte del agente de IA (vista previa) | AGENT_ENGINE_UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador |
Una cuenta de servicio realizó una llamada no autorizada a la API de un proyecto externo a través de un agente de IA. Este comportamiento puede indicar que un usuario no autorizado está intentando obtener detalles sobre los recursos, habilitar o inhabilitar servicios, o realizar otras acciones no autorizadas a través de un agente de IA. De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
| Descubrimiento: Autoinvestigación de la cuenta de servicio del agente de IA (versión preliminar) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Registros de auditoría de Cloud: Registros de auditoría de acceso a datos de IAM Permisos: DATA_READ
|
Se usó una identidad asociada con un agente de IA para investigar los roles y los permisos asociados con esa misma cuenta de servicio. Los hallazgos se clasifican como de gravedad Baja si la solicitud se autorizó o de gravedad Alta si no se autorizó. |
| Acceso a las credenciales: Acceso anómalo al servicio de metadatos por parte del agente de IA (vista previa) | AGENT_ENGINE_ANOMALOUS_ACCESS_TO_METADATA_SERVICE |
Registros del motor del agente: Registros del motor del agente |
Un agente de IA recuperó un token de cuenta de servicio de un servidor de metadatos. De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
| Robo de datos: El agente de IA inició una infracción del perímetro de VPC de BigQuery (vista previa) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION |
Registros de auditoría de Cloud:
Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:DATA_READ
|
Detecta un intento de un agente de IA para acceder a recursos de BigQuery que están protegidos por los Controles del servicio de VPC. De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
| Robo de datos: El agente de IA inició el robo de datos de BigQuery a una tabla externa (vista previa) |
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE |
Registros de auditoría de Cloud:
Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:DATA_READ
|
Detecta cuándo un agente de IA guardó fuera de la organización recursos que pertenecen a la organización protegida, incluidas las operaciones de copia o transferencia. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
| Robo de datos: El agente de IA inició el robo de datos de Cloud SQL a un bucket público (vista previa) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS |
Registros de auditoría de Cloud:
Registros de acceso a los datos de MySQL Registros de acceso a los datos de PostgreSQL Registros de acceso a los datos de SQL Server |
Detecta cuándo un agente de IA exportó datos de instancia activa a un bucket de Cloud Storage que pertenece a la organización y que es de acceso público. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Standard heredado está habilitado en la organización principal. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
| Robo de datos: El agente de IA inició el robo de datos de Cloud SQL a un bucket externo (vista previa) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Registros de auditoría de Cloud:
Registros de acceso a los datos de MySQL Registros de acceso a los datos de PostgreSQL Registros de acceso a los datos de SQL Server |
Detecta cuándo un agente de IA exportó datos de instancia en vivo a un bucket de Cloud Storage fuera de la organización. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Standard heredado está habilitado en la organización principal. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
| Robo de datos: El agente de IA inició la extracción de datos de BigQuery (vista previa) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Registros de auditoría de Cloud:
Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:DATA_READ
|
Detecta las siguientes situaciones de extracción de datos de BigQuery iniciadas por un agente de IA:
Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Standard heredado está habilitado en la organización principal. De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
| Acceso inicial: Acciones denegadas de permisos excesivos de identidad del agente de IA (vista previa) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Registros de auditoría de Cloud: Registros de actividad del administrador | Una identidad asociada con un agente de IA activó repetidamente errores de permiso denegado al intentar realizar cambios en varios métodos y servicios. De forma predeterminada, los hallazgos se clasifican como de gravedad Media. |
| Elevación de privilegios: Generación sospechosa de tokens con signJwt por parte del agente de IA (vista previa) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Registros de auditoría de Cloud: Registros de auditoría de acceso a los datos de IAM |
Una cuenta de servicio asociada con un agente de IA usó el método
De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
| Elevación de privilegios: Generación sospechosa de tokens con delegación implícita por parte del agente de IA (vista previa) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Registros de auditoría de Cloud: Registros de auditoría de acceso a los datos de IAM |
El permiso iam.serviceAccounts.implicitDelegation se usó de forma incorrecta para
generar tokens de acceso desde una cuenta de servicio con más privilegios a través de un agente de IA.
De forma predeterminada, los hallazgos se clasifican como de gravedad Baja.
|
| Elevación de privilegios: Generación sospechosa de tokens de OpenID entre proyectos por parte del agente de IA (versión preliminar) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Registros de auditoría de Cloud: Registros de auditoría de acceso a los datos de IAM |
El permiso de IAM Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
| Elevación de privilegios: Generación sospechosa de tokens de acceso entre proyectos por parte del agente de IA (vista previa) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Registros de auditoría de Cloud: Registros de auditoría de acceso a los datos de IAM |
El permiso de IAM Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los hallazgos se clasifican como de gravedad baja. |
¿Qué sigue?
- Obtén más información para usar la detección de amenazas del motor de Agent.
- Obtén más información para usar Event Threat Detection.
- Obtén más información para responder a los hallazgos de amenazas de IA.
- Consulta el Índice de hallazgos de amenazas.