Falha crítica no SDK do Google Vertex AI permitia sequestro de uploads de modelos via bucket squatting

A falha 'Pickle in the Middle' não é um caso isolado de confiança cega em nomes previsíveis, é um sintoma crônico de como SDKs de IA gerenciam infraestrutura compartilhada. O bucket staging não é só um local temporário: é uma porta de entrada para o ambiente de serving do Vertex AI, onde modelos são carregados com privilégios elevados e acesso direto ao metadata server da instância. O fato de o SDK validar apenas a existência do bucket (não a propriedade) revela uma falha de design de autorização no fluxo de upload: o cliente assume que 'se o bucket existe, ele é meu', ignorando que buckets no Cloud Storage são globais e imutáveis por nome, o que transforma qualquer padrão previsível em vetor de squatting.

O payload em pickle não foi um experimento acadêmico: Unit 42 demonstrou exfiltração real de tokens OAuth com escopo amplo, incluindo acesso a BigQuery metadata, GKE cluster names e caminhos internos de imagens de container. Isso significa que um único upload mal configurado podia desencadear movimento lateral dentro do projeto gerenciado pelo Google, não só no seu próprio deployment. E o pior: o ataque não dependia de credenciais roubadas, engenharia social ou configuração errada do lado do servidor, só de um projeto ativo do atacante e do project ID público da vítima.

Empresas que usam Vertex AI para produção não estão só arriscando modelos: estão expostas a vazamento de metadados sensíveis, credenciais de serviço reutilizáveis e até dados de outros clientes hospedados no mesmo tenant gerenciado. A vulnerabilidade afeta pipelines de CI/CD, notebooks interativos e scripts de treinamento, qualquer lugar onde o SDK roda sem staging_bucket explícito. Como o Google não atribuiu CVE e não divulgou detalhes técnicos oficiais, muitas equipes ainda ignoram que precisam auditar versões do google-cloud-aiplatform em ambientes não produtivos, não só em servidores.