本文档简要介绍了 Agent 平台威胁检测及其检测器。
Agent Platform 威胁检测是 Security Command Center 的一项内置服务,可帮助您检测和调查部署到 Agent Runtime 运行时的 AI 智能体可能遭受的攻击。如果 Agent Platform 威胁检测服务检测到潜在攻击,该服务会在 Security Command Center 中近乎实时地生成发现结果。
Agent Platform Threat Detection 会监控受支持的 AI 智能体,并检测最常见的运行时威胁。运行时威胁包括执行恶意二进制文件或脚本、容器逃逸、反向 shell,以及在智能体的环境内使用攻击工具。
此外,Event Threat Detection 中的控制平面检测器会分析各种审核日志(包括 Identity and Access Management、BigQuery 和 Cloud SQL 日志)以及代理运行时日志(stdout 和 stderr),以检测可疑活动。控制平面威胁包括数据渗漏尝试、过多的权限拒绝和可疑的令牌生成。
优势
Agent Platform Threat Detection 具有以下优势:
- 主动降低 AI 工作负载的风险。Agent Platform 威胁检测通过监控 AI 智能体的行为和环境,帮助您及早检测和应对威胁
- 在统一位置管理 AI 安全。Agent Platform 威胁检测发现结果会直接显示在 Security Command Center 中。您可以通过一个中央界面查看和管理威胁发现结果以及其他云安全风险。
工作原理
Agent Platform Threat Detection 会从托管的 AI 智能体收集遥测数据,以分析可能表明存在运行时攻击的进程、脚本和库。当 Agent Platform Threat Detection 检测到潜在威胁时,会执行以下操作:
Agent Platform Threat Detection 使用 watcher 进程在智能体工作负载运行时收集事件信息。watcher 进程最多可能需要一分钟才能启动并收集信息。
Agent Platform Threat Detection 会分析收集的事件信息,以确定某个事件是否预示着突发事件。Agent Platform 威胁检测使用自然语言处理 (NLP) 来分析 Bash 和 Python 脚本中的恶意代码。
如果 Agent Platform 威胁检测识别突发事件,则会在 Security Command Center 中将该突发事件报告为发现结果。
如果 Agent Platform Threat Detection 无法识别突发事件,则不会存储任何信息。
收集的所有数据都会在内存中处理,并且在分析后不会保留,除非确定为突发事件并作为发现结果报告。
如需了解如何在Google Cloud 控制台中查看 Agent Platform 威胁检测发现结果,请参阅查看发现结果。
检测器
本部分列出了可监控部署到 Agent Runtime 运行时的 AI 智能体的运行时和控制平面检测器。
运行时检测器
Agent Platform Threat Detection 包括以下运行时检测器:
| 显示名称 | 模块名称 | 说明 |
|---|---|---|
| 命令和控制:检测到信息隐写工具(预览版) | AGENT_ENGINE_STEGANOGRAPHY_TOOL_DETECTED |
执行了一个被识别为信息隐写工具的程序,表明可能有人试图隐藏通信或数据传输。 攻击者可能会利用隐写术将恶意命令和控制 (C2) 指令或窃取的数据嵌入看似良性的数字文件中,以逃避标准的安全监控和检测。识别此类工具的使用情况对于发现隐藏的恶意活动至关重要。 |
| 凭证访问权限:查找 Google Cloud 凭证(预览) | AGENT_ENGINE_FIND_GCP_CREDENTIALS |
执行了命令,以在容器环境中搜索 Google Cloud 私钥、密码或其他敏感凭证。 攻击者可能会使用窃取的 Google Cloud 凭证来非法访问目标 Google Cloud 环境中的敏感数据或资源。 |
| 凭证访问:GPG 密钥侦察(预览) | AGENT_ENGINE_GPG_KEY_RECONNAISSANCE |
执行了用于搜索 GPG 安全密钥的命令。 攻击者可能会使用窃取的 GPG 安全密钥来获取对加密通信或文件的未经授权的访问权限。 |
| 凭证访问:搜索私钥或密码(预览) | AGENT_ENGINE_SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
执行了在容器环境中搜索私钥、密码或其他敏感凭证的命令,表明可能有人试图收集身份验证数据。 攻击者通常会搜索凭证文件,以便未经授权访问系统、提升特权或在环境中横向移动。检测此类活动对于防止安全违规至关重要。 |
| 防护规避:Base64 ELF 文件命令行(预览版) | AGENT_ENGINE_BASE64_ELF_FILE_CMDLINE |
执行了一个进程,其中包含一个 ELF(可执行和可链接格式)文件的参数。 检测到执行经过编码的 ELF 文件表示攻击者可能正尝试对二进制数据进行编码,以便将其传输到仅限 ASCII 的命令行。攻击者可以使用此技术来逃避检测并运行嵌入 ELF 文件中的恶意代码。 |
| 防护规避:已执行 Base64 编码的 Python 脚本(预览版) | AGENT_ENGINE_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
执行了一个进程,其中包含一个以 base64 编码的 Python 脚本的参数。 如果检测到执行经过编码的 Python 脚本,则表示攻击者正尝试对二进制数据进行编码,以便将其传输到仅限 ASCII 的命令行。攻击者可以使用此技术来逃避检测并运行嵌入 Python 脚本中的恶意代码。 |
| 防护规避:执行 Base64 编码的 shell 脚本(预览版) | AGENT_ENGINE_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
执行了一个进程,其中包含一个以 base64 编码的 Shell 脚本的参数。 如果检测到执行经过编码的 Shell 脚本,则表示攻击者正试图将二进制数据编码,以便通过仅限 ASCII 的命令行进行传输。攻击者可以使用此技术来逃避检测并运行嵌入 Shell 脚本中的恶意代码。 |
| 防护规避:在容器中启动代码编译器工具(预览版) | AGENT_ENGINE_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
在容器环境中启动了一个进程,用于运行代码编译器工具,表明可能有人试图在隔离的上下文中构建或修改可执行代码。 攻击者可能会在容器中使用代码编译器来开发恶意载荷、将代码注入现有二进制文件中,或创建用于绕过安全控制的工具,同时在审查较少的环境中运行,以逃避主机系统上的检测。 |
| 执行:已执行添加的恶意二进制文件(预览版) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
某个进程执行了威胁情报识别为恶意的二进制文件。此二进制文件不是原始智能体工作负载的一部分。 此事件强烈表明,攻击者已控制工作负载,且正在运行恶意软件。 |
| 执行:已加载添加的恶意库(预览版) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
某个进程加载了威胁情报识别为恶意的库。此库不是原始智能体工作负载的一部分。 此事件表明,攻击者可能已控制工作负载,且正在运行恶意软件。 |
| 执行:执行了内置恶意二进制文件(预览版) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
某个进程执行了威胁情报识别为恶意的二进制文件。此二进制文件是原始智能体工作负载的一部分。 此事件可能表明,攻击者正在部署恶意工作负载。例如,攻击者可能已控制合法的构建流水线,并将恶意二进制文件注入到智能体工作负载中。 |
| 执行:容器逃逸(预览版) | AGENT_ENGINE_CONTAINER_ESCAPE |
容器内运行的进程试图使用已知的漏洞利用技术或二进制文件绕过容器隔离,威胁情报将这些技术或二进制文件识别为潜在威胁。如果成功逃逸,攻击者便可访问主机系统,并可能入侵整个环境。 此操作表明,攻击者正在利用漏洞来获得对主机系统或更广泛基础设施的未经授权的访问权限。 |
| 执行:/memfd 中的无文件执行(预览版) | AGENT_ENGINE_FILELESS_EXECUTION_DETECTION_MEMFD |
使用内存中的文件描述符执行了进程。 如果进程是从内存文件启动的,则可能表明攻击者正试图绕过其他检测方法来执行恶意代码。 |
| 执行:Kubernetes 攻击工具执行(预览版) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
某个进程执行了 Kubernetes 特定的攻击工具,威胁情报将其识别为潜在威胁。 此操作表明,攻击者已获得对集群的访问权限,且正在使用该工具来利用 Kubernetes 特定的漏洞或配置。 |
| 执行:本地侦察工具执行(预览版) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
某个进程执行了通常不是智能体工作负载的一部分的本地侦察工具。威胁情报会将这些工具识别为潜在威胁。 此事件表明,攻击者正在尝试收集内部系统信息,例如映射基础设施、识别漏洞或收集有关系统配置的数据。 |
| 执行:执行了恶意 Python(预览版) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
机器学习模型将执行的 Python 代码识别为恶意代码。攻击者可以使用 Python 将工具或文件下载到遭入侵的环境,并在不使用二进制文件的情况下执行命令。 检测器使用自然语言处理 (NLP) 来分析 Python 代码的内容。由于此方法不是基于签名,因此检测器可以识别已知和新型的恶意 Bash 命令。 |
| 执行:已执行修改的恶意二进制文件(预览版) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
某个进程执行了威胁情报识别为恶意的二进制文件。此二进制文件是原始智能体工作负载的一部分,但在运行时已修改。 此事件表明,攻击者可能已控制工作负载,且正在运行恶意软件。 |
| 执行:已加载修改的恶意库(预览版) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
某个进程加载了威胁情报识别为恶意的库。此库是原始智能体工作负载的一部分,但在运行时已修改。 此事件表明,攻击者已控制工作负载,且正在运行恶意软件。 |
| 已执行恶意脚本(预览版) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
机器学习模型将执行的 Bash 代码识别为恶意代码。 攻击者可以使用 Bash 将工具或文件下载到遭入侵的环境,并在不使用二进制文件的情况下执行命令。 检测器使用 NLP 来分析 Bash 代码的内容。由于此方法并非基于签名,因此检测器可以识别已知和新型的恶意 Bash 代码。 |
| 观察到恶意网址(预览版) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
Agent Platform Threat Detection 在正在运行的进程的参数列表中观察到一个恶意网址。 检测器会将这些网址与 Google 安全浏览服务维护的不安全 Web 资源列表进行比较。如果您认为 Google 错误地将某个网址归类为钓鱼式攻击网站或恶意网站,请在报告错误数据中报告相应问题。 |
| 反向 Shell(预览版) | AGENT_ENGINE_REVERSE_SHELL |
通过流式传输重定向到远程连接的套接字的过程。检测器会查找绑定到远程套接字的 借助反向 shell,攻击者可以通过已遭入侵的工作负载与攻击者控制的机器进行通信。然后,攻击者可以命令和控制工作负载,例如将其作为僵尸网络的一部分。 |
| 意外的子 Shell(预览版) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
通常不调用 shell 的进程意外生成了 shell 进程。 检测器会监控进程执行情况,并在已知父进程意外生成 shell 时生成发现结果。 |
| 执行:容器中的 Netcat 远程代码执行(预览) | AGENT_ENGINE_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
在容器环境中执行了多功能网络工具 Netcat,这可能表明有人试图建立未经授权的远程访问或窃取数据。 在容器化环境中使用 Netcat 可能表明攻击者试图创建反向 shell、实现横向移动或执行任意命令,这可能会损害系统完整性。 |
| 执行:可能通过 CUPS 执行任意命令 (CVE-2024-47177)(预览版) | AGENT_ENGINE_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
此规则可检测到 |
| 执行:疑似检测到远程命令执行(预览版) | AGENT_ENGINE_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
检测到一个进程通过网络套接字连接启动常见的 UNIX 命令,表明可能有人试图建立未经授权的远程命令执行功能。 攻击者经常利用模仿反向 shell 的技术来获得对遭入侵系统的交互式控制,从而能够远程执行任意命令并绕过标准网络安全措施(例如防火墙限制)。检测到通过套接字执行命令是恶意远程访问的有力证据。 |
| 执行:在禁止使用 HTTP 代理的环境中运行的程序(预览版) | AGENT_ENGINE_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
检测到使用被禁止的 HTTP 代理环境变量执行了某个程序。这可能表明有人试图绕过安全控制、出于恶意目的重定向流量或通过未经授权的渠道窃取数据。 攻击者可能会配置被禁止的 HTTP 代理来拦截敏感信息、通过恶意服务器路由流量或建立隐蔽通信渠道。检测使用这些环境变量的程序的执行对于维护网络安全和防止数据泄露至关重要。 |
| 执行:检测到 Socat 反向 shell(预览版) | AGENT_ENGINE_SOCAT_REVERSE_SHELL_DETECTED |
此规则通过重定向 stdin、stdout 和 stderr 文件描述符来检测执行 |
| 执行:已加载可疑的 OpenSSL 共享对象(预览版) | AGENT_ENGINE_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
已执行 OpenSSL 来加载自定义共享对象。 攻击者可能会加载自定义库并替换 OpenSSL 使用的现有库,以运行恶意代码。在生产环境中使用该库并不常见,应立即展开调查。 |
| 数据外泄:在容器中启动远程文件复制工具(预览版) | AGENT_ENGINE_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
在容器内检测到远程文件复制工具执行,表明可能存在数据渗漏、横向移动或恶意载荷部署。 攻击者通常会使用这些工具将敏感数据转移到容器外部,在网络内横向移动以入侵其他系统,或引入恶意软件以进行进一步的恶意活动。检测远程文件复制工具的使用情况对于防止数据泄露、未经授权的访问,以及容器系统甚至宿主系统遭进一步入侵至关重要。 |
| 影响:检测恶意命令行(预览版) | AGENT_ENGINE_DETECT_MALICIOUS_CMDLINES |
检测到执行的命令包含已知可能具有破坏性的参数,例如试图删除关键系统文件或修改密码相关配置。 攻击者可能会发出恶意命令行,导致系统不稳定、通过删除必要文件来阻止恢复,或通过操纵用户凭证来获得未经授权的访问权限。检测这些特定命令模式对于防止系统遭受严重影响至关重要。 |
| 影响:从磁盘中移除批量数据(预览版) | AGENT_ENGINE_REMOVE_BULK_DATA_FROM_DISK |
检测到一个进程在执行批量数据删除操作,这可能表明有人试图在容器环境中清除证据、干扰服务或执行数据擦除攻击。 攻击者可能会移除大量数据来掩盖其踪迹、破坏运营或为部署勒索软件做准备。检测此类活动有助于在关键数据丢失发生前识别潜在威胁。 |
| 影响:使用 Stratum 协议的可疑加密货币挖矿活动(预览版) | AGENT_ENGINE_DETECT_CRYPTO_MINERS_USING_STRATUM_PROTOCOL |
检测到一个进程正在通过 Stratum 协议进行通信,该协议通常由加密货币挖矿软件使用。此活动表明容器环境中可能存在未经授权的挖矿操作。 攻击者通常会部署加密货币挖矿程序来利用系统资源获取经济利益,从而导致性能下降、运营成本增加,并带来潜在的安全风险。检测此类活动有助于缓解资源滥用和未经授权的访问。 |
| 权限提升:滥用 sudo 以提升权限 (CVE-2019-14287)(预览版) | AGENT_ENGINE_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION |
使用试图提升权限的参数执行了
此检测会通知用户有人尝试利用 CVE-2019-14287,该漏洞允许通过滥用 |
| 提升权限:Polkit 本地提升权限漏洞 (CVE-2021-4034)(预览版) | AGENT_ENGINE_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
非根用户已执行
此规则可检测到有人尝试利用 Polkit |
| 提升权限:sudo 潜在权限提升 (CVE-2021-3156)(预览版) | AGENT_ENGINE_SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
非根用户执行了
检测到有人尝试利用影响 |
控制平面检测器
本部分介绍了 Event Threat Detection 中专门为部署到 Agent Runtime 运行时的 AI 智能体设计的控制平面检测器。Event Threat Detection 还具有用于检测一般 AI 相关威胁的检测器。
这些控制平面检测器默认处于启用状态。 您可以按照管理其他 Event Threat Detection 检测器的方式管理这些检测器。如需了解详情,请参阅使用 Event Threat Detection。
| 显示名称 | API 名称 | 日志源类型 | 说明 |
|---|---|---|---|
| 发现:AI 代理扫描端口的证据(预览版) | AGENT_ENGINE_PORT_SCANNING_EVIDENCE |
Agent Engine 日志: Agent Engine 日志 |
AI 智能体表现出水平或垂直端口扫描行为。默认情况下,发现结果会被归类为低严重程度。 |
| 发现:AI 代理未经授权进行服务账号 API 调用(预览版) | AGENT_ENGINE_UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit Logs: 管理员活动审核日志 |
某个服务账号通过 AI 代理向外部项目进行了未经授权的 API 调用。此行为可能表明,未经授权的用户正尝试通过 AI 智能体获取有关资源的详细信息、启用或停用服务,或执行其他未经授权的操作。默认情况下,发现结果归类为低严重程度。 |
| 发现:AI 代理服务账号自行调查(预览版) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Cloud Audit Logs: IAM 数据访问审核日志 权限: DATA_READ
|
与 AI 智能体相关联的身份用于调查与同一服务账号关联的角色和权限。如果请求已获得授权,发现结果会被归类为低严重程度;如果请求未获得授权,发现结果会被归类为高严重程度。 |
| 凭据访问:AI 智能体异常访问元数据服务(预览版) | AGENT_ENGINE_ANOMALOUS_ACCESS_TO_METADATA_SERVICE |
Agent Engine 日志: Agent Engine 日志 |
AI 智能体从元数据服务器提取了服务账号令牌。默认情况下,发现结果会被归类为低严重程度。 |
| 渗漏:AI 代理引发了 BigQuery VPC 边界违规(预览版) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志
权限:DATA_READ |
检测到 AI 智能体尝试访问受 VPC Service Controls 保护的 BigQuery 资源。默认情况下,发现结果会被归类为低严重程度。 |
| 渗漏:AI 代理引发了 BigQuery 数据渗漏到外部表(预览版) |
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志
权限:DATA_READ |
检测受保护的组织所拥有的资源何时被 AI 智能体保存到组织外部,包括复制或转移操作。默认情况下,发现结果会被归类为高严重程度。 |
| 渗漏:AI 代理引发了 CloudSQL 渗漏到公共存储分区(预览版) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS |
Cloud Audit Logs:
MySQL 数据访问日志 PostgreSQL 数据访问日志 SQL Server 数据访问日志 |
检测 AI 智能体何时将实时实例数据导出到组织拥有且可公开访问的 Cloud Storage 存储桶。 对于 Security Command Center 高级方案的项目级激活,此发现结果仅在父级组织中启用了标准旧版层级时才可用。默认情况下,发现结果会被归类为高严重程度。 |
| 渗漏:AI 代理引发了 CloudSQL 渗漏到外部存储分区(预览版) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs:
MySQL 数据访问日志 PostgreSQL 数据访问日志 SQL Server 数据访问日志 |
检测 AI 智能体何时将实时实例数据导出到组织外部的 Cloud Storage 存储桶。 对于 Security Command Center 高级方案的项目级激活,此发现结果仅在父级组织中启用了标准旧版层级时才可用。默认情况下,发现结果会被归类为高严重程度。 |
| 渗漏:AI 代理引发了 BigQuery 数据提取(预览版) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志
权限:DATA_READ |
检测由 AI 智能体引发的 BigQuery 数据提取的以下场景:
对于 Security Command Center 高级方案的项目级激活,此发现结果仅在父级组织中启用了标准旧版层级时才可用。默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问:AI 代理身份的权限遭拒操作次数过多(预览版) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs:管理员活动日志 | 与 AI 智能体关联的身份尝试在多个方法和服务中进行更改时反复触发“权限遭拒”错误。默认情况下,发现结果会被归类为中严重程度。 |
| 权限提升:AI 代理存在使用 signJwt 生成令牌的可疑活动(预览版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit Logs: IAM 数据访问审核日志 |
与 AI 智能体相关联的服务账号使用了
默认情况下,发现结果会被归类为低严重程度。 |
| 权限提升:AI 代理存在使用隐式委托生成令牌的可疑活动(预览版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: IAM 数据访问审核日志 |
iam.serviceAccounts.implicitDelegation 权限被滥用,用于通过 AI 智能体从权限更高的服务账号生成访问令牌。默认情况下,发现结果会被归类为低严重程度。
|
| 权限提升:AI 代理存在跨项目生成 OpenID 令牌的可疑活动(预览版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: IAM 数据访问审核日志 |
此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 权限提升:AI 代理存在跨项目生成访问令牌的可疑活动(预览版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: IAM 数据访问审核日志 |
此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
后续步骤
- 了解如何使用 Agent Platform Threat Detection。
- 了解如何测试 Agent Platform Threat Detection。
- 了解如何使用 Event Threat Detection。
- 了解如何应对 AI 威胁发现结果。
- 查看威胁发现结果索引。