-
09/04/2020
-
128
-
1.805 bài viết
Lỗ hổng nghiêm trọng trong Google ADK cho phép thực thi mã từ xa không cần xác thực
Một lỗ hổng nghiêm trọng vừa được phát hiện trong bộ công cụ phát triển AI agent của Google, làm dấy lên lo ngại về nguy cơ bị chiếm quyền hệ thống từ xa. Lỗ hổng có mã định danh là CVE-2026-4810 với điểm CVSS 9.3, ảnh hưởng trực tiếp đến các môi trường đang triển khai Agent Development Kit (ADK).
Theo thông tin từ Google, CVE-2026-4810 bắt nguồn từ sự kết hợp giữa lỗi chèn mã và việc thiếu cơ chế xác thực trong một số cấu hình của Google Agent Development Kit. Điều này cho phép kẻ tấn công từ xa không cần đăng nhập vẫn có thể gửi lệnh và chiếm quyền điều khiển các máy chủ đang vận hành tác vụ AI.
Google Agent Development Kit được thiết kế theo kiến trúc mô-đun, giúp đơn giản hóa việc xây dựng, triển khai và điều phối các tác vụ AI. Hệ thống này có tính linh hoạt cao, hỗ trợ nhiều môi trường triển khai khác nhau như Python mã nguồn mở, Google Cloud Run và Google Kubernetes Engine. Việc được triển khai trên nhiều nền tảng khiến ADK được sử dụng rộng rãi, đồng thời làm tăng bề mặt tấn công nếu cấu hình không được kiểm soát chặt.
Theo hãng, lỗ hổng ảnh hưởng đến các phiên bản ADK từ 1.7.0 đến 1.28.1 trên các nền tảng triển khai phổ biến, bao gồm môi trường Python mã nguồn mở, Google Cloud Run và Google Kubernetes Engine. Một số bản thử nghiệm của nhánh 2.0 cũng bị ảnh hưởng.
Google đã xử lý lỗ hổng bằng cách phát hành bản cập nhật trong các phiên bản 1.28.1 và 2.0.0a2. Tuy nhiên, các chuyên gia cảnh báo rằng việc chỉ nâng cấp gói phần mềm là chưa xử lý triệt để. Các quản trị viên và nhà phát triển được khuyến nghị:
- Triển khai lại các instance ADK sau khi nâng cấp trên hệ thống đang vận hành
- Cập nhật các môi trường phát triển hoặc thử nghiệm sử dụng ADK Web
- Kiểm tra lại cấu hình nhằm giảm nguy cơ bị khai thác hoặc lan rộng trong hệ thống nội bộ
Theo Security Online