محققان امنیت سایبری آسیب‌پذیری ConfusedComposer را در سرویس Google Cloud Platform کشف کردند که امکان افزایش دسترسی مهاجمان در سرویس Cloud Composer را فراهم می‌کرد. این آسیب‌پذیری به مهاجمان با مجوز ویرایش در Cloud Composer اجازه می‌داد تا دسترسی خود را به حساب کاربری پیش‌فرض Cloud Build با سطح دسترسی بالا در سرویس‌های مختلف GCP ارتقا دهند. حمله از طریق تزریق بسته‌های مخرب PyPI و اجرای کد دلخواه در Cloud Build انجام می‌شد.

گوگل این مشکل را در ۱۳ آوریل ۲۰۲۵ برطرف کرد و استفاده از حساب کاربری Cloud Build برای نصب بسته‌های PyPI را حذف نمود. همچنین آسیب‌پذیری‌های مشابهی در Microsoft Azure و Entra ID کشف شد که امکان حذف منابع Azure و جلوگیری از تغییر کاربران توسط مدیران کل را فراهم می‌کردند. این موارد نشان‌دهنده اهمیت امنیت در تعاملات پشت‌صحنه سرویس‌های ابری و ضرورت نظارت مداوم بر این سیستم‌ها است.