Varonis 发现 Google Cloud Dialogflow CX 中的关键漏洞,这些漏洞允许 Playbook 中的恶意代码块劫持代理、窃取聊天日志和窃取凭据。共享的 Cloud Run 环境具有过多的特权,使一个受感染的代理能够控制项目中的所有其他代理,而在 Cloud Logging 中几乎无法检测到攻击。
Google 在 2026 年 4 月至 6 月期间修补了这些漏洞。研究人员建议检查审核日志,检查异常错误,并手动检查代码块中是否存在未经授权的代码。
该漏洞允许威胁行为者访问不同的人工智能代理、完整的对话历史记录以及登录凭据等敏感数据。 Dialogflow CX 是一个 AI 平台,使开发人员能够构建语音和文本聊天机器人,允许在对话 Playbook 中包含自定义 Python 片段(称为代码块),所有这些都在共享的 Cloud Run 服务中执行。
Varonis 表示,攻击者不需要广泛的管理员访问权限;编辑单个聊天机器人设置的权限足以植入恶意代码。 Cloud Run 环境缺乏代码限制,具有可写文件系统,并包含公共互联网出口,这可能会导致关键文件被完全覆盖。
一旦受到威胁,代理就可以接管项目中的所有其他人。云日志记录的局限性意味着文件覆盖或注入逻辑将无法被检测到。 Varonis 于 2025 年 11 月向 Google 报告了这些漏洞。2026 年 4 月发布了初步修复程序,并于 2026 年 6 月实现了全面解决。
没有证据表明存在任何野外利用尝试。研究人员建议用户查看 Playbooks.UpdatePlaybook 调用的 DATA_WRITE 审核日志,并检查是否存在异常 Sessions.DetectIntent 错误。
<小时/>





