Google Cloud Vertex AI 安全漏洞：Vertex AI Experiments 可预测存储桶命名 (CVE-2026-2473)

Google Cloud 的核心人工智能平台 Vertex AI 被曝存在一个安全漏洞，其 Vertex AI Experiments 功能中的存储桶命名模式可被预测。该漏洞被追踪为 CVE-2026-2473，影响 Google Cloud Platform 上从 1.21.0 版本开始，直至（但不包括）1.133.0 版本的所有 `google-cloud-aiplatform` SDK。这意味着在近一年半的版本迭代中，使用 Vertex AI Experiments 功能的项目可能面临数据暴露或未授权访问的风险。

该漏洞源于 Vertex AI Experiments 组件中用于存储实验数据的 Google Cloud Storage 存储桶采用了可预测的命名模式。攻击者可能利用此模式推断出存储桶名称，从而尝试访问或篡改本应受保护的实验数据、模型工件或配置信息。这直接威胁到依赖 Vertex AI 进行机器学习开发、模型训练和实验管理的企业及研究机构的数据安全与知识产权。自动化依赖管理工具 Renovate 已针对此漏洞发布更新建议，敦促用户将 `google-cloud-aiplatform` 依赖从旧版本（如 1.65.0）升级至已修复该问题的 1.133.0 版本。

此次更新被标记为安全更新，凸显了其紧迫性。对于任何在生产或开发环境中使用受影响版本 Vertex AI SDK 的团队而言，立即审查和升级依赖项是降低风险的关键步骤。该事件也再次提醒，即使是 Google 这样的云服务巨头，其托管 AI 服务的基础设施层也可能存在配置层面的安全隐患。开发者和运维团队需要密切关注其 AI 技术栈的供应链安全，及时应用安全补丁，并审查自动化工具（如 Renovate）生成的依赖仪表板中的警告信息。