Varonis entdeckte kritische Schwachstellen in Dialogflow CX von Google Cloud, die es bösartigen Codeblöcken in Playbooks ermöglichten, Agenten zu kapern, Chat-Protokolle zu exfiltrieren und Anmeldeinformationen zu stehlen. Die gemeinsam genutzte Cloud Run-Umgebung verfügte über übermäßige Berechtigungen, sodass ein gefährdeter Agent alle anderen innerhalb eines Projekts kontrollieren konnte, wobei Angriffe in Cloud Logging praktisch nicht erkennbar waren.
Google hat diese Schwachstellen zwischen April und Juni 2026 gepatcht. Die Forscher empfahlen, Audit-Protokolle zu überprüfen, auf ungewöhnliche Fehler zu prüfen und Codeblöcke manuell auf nicht autorisierten Code zu überprüfen.
Die Schwachstelle ermöglichte Bedrohungsakteuren den Zugriff auf verschiedene KI-Agenten, den vollständigen Gesprächsverlauf und vertrauliche Daten wie Anmeldeinformationen. Dialogflow CX ist eine KI-Plattform, die es Entwicklern ermöglicht, Sprach- und Text-Chatbots zu erstellen, die die Einbindung benutzerdefinierter Python-Snippets, sogenannter Codeblöcke, in Konversations-Playbooks ermöglicht, die alle in einem gemeinsamen Cloud Run-Dienst ausgeführt werden.
Varonis gab an, dass der Angreifer keinen umfassenden Administratorzugriff benötige; Die Erlaubnis, die Einstellungen eines einzelnen Chatbots zu bearbeiten, reichte aus, um Schadcode einzuschleusen. In der Cloud Run-Umgebung gab es keine Code-Einschränkungen, sie verfügte über ein beschreibbares Dateisystem und beinhaltete öffentlichen Internet-Ausgang, der zum vollständigen Überschreiben wichtiger Dateien führen konnte.
Sobald ein Agent kompromittiert ist, könnte er alle anderen im Projekt übernehmen. Die Einschränkung von Cloud Logging führte dazu, dass Dateiüberschreibungen oder eingefügte Logik unentdeckt blieben. Varonis meldete die Schwachstellen im November 2025 an Google. Ein erster Fix wurde im April 2026 veröffentlicht, die vollständige Lösung wurde bis Juni 2026 erreicht.
Es gibt keine Hinweise auf Ausbeutungsversuche in freier Wildbahn. Die Forscher rieten Benutzern, die DATA_WRITE-Überwachungsprotokolle für Playbooks.UpdatePlaybook-Aufrufe zu überprüfen und auf anomale Sessions.DetectIntent-Fehler zu prüfen.





