Varonis odkrył krytyczne luki w zabezpieczeniach Dialogflow CX w Google Cloud, które umożliwiły złośliwym blokom kodu w Playbookach porywanie agentów, wydobywanie dzienników czatów i kradzież danych uwierzytelniających. Współdzielone środowisko Cloud Run charakteryzowało się nadmiernymi uprawnieniami, dzięki czemu jeden zaatakowany agent mógł kontrolować wszystkich pozostałych w ramach projektu, a ataki pozostały praktycznie niewykrywalne w Cloud Logging.
Google załatał te luki w okresie od kwietnia do czerwca 2026 r. Badacze zalecili przejrzenie dzienników audytu, sprawdzenie pod kątem nietypowych błędów i ręczne sprawdzenie bloków kodu pod kątem nieautoryzowanego kodu.
Luka umożliwiła cyberprzestępcom dostęp do różnych agentów AI, pełnej historii rozmów i wrażliwych danych, takich jak dane logowania. Dialogflow CX to platforma oparta na sztucznej inteligencji, która umożliwia programistom tworzenie chatbotów głosowych i tekstowych, umożliwiając dołączanie niestandardowych fragmentów kodu Pythona, zwanych blokami kodu, do podręczników konwersacji, a wszystkie wykonywane we współdzielonej usłudze Cloud Run.
Varonis stwierdził, że atakujący nie potrzebował szerokiego dostępu administratora; pozwolenie na edycję ustawień pojedynczego chatbota wystarczyło, aby umieścić złośliwy kod. Środowisko Cloud Run nie miało ograniczeń w kodzie, posiadało zapisywalny system plików i obejmowało ruch wychodzący z publicznego Internetu, co mogło prowadzić do całkowitego nadpisania kluczowych plików.
Po skompromitowaniu agent może przejąć wszystkich pozostałych uczestników projektu. Ograniczenia Cloud Logging oznaczały, że nadpisywanie plików lub wstrzykiwanie logiki pozostawały niewykryte. Varonis zgłosił luki firmie Google w listopadzie 2025 r. Pierwsza poprawka została wydana w kwietniu 2026 r., a pełną rozdzielczość osiągnięto w czerwcu 2026 r.
Nie ma dowodów na jakiekolwiek próby wykorzystania tego gatunku na wolności. Badacze poradzili użytkownikom, aby przejrzeli dzienniki audytu DATA_WRITE pod kątem wywołań Playbooks.UpdatePlaybook i sprawdzili, czy nie występują nietypowe błędy Sessions.DetectIntent.





