Apa yang terjadi
Varonis Threat Labs mengungkap 'Rogue Agent' (dilaporkan ke Google November 2025, dipublikasikan secara detail 7 Juli 2026): kerentanan kritis dalam Dialogflow CX di mana Code Blocks dieksekusi dalam shared Cloud Run instance di seluruh semua agents dalam suatu project, memungkinkan code dari satu agent yang dikompromikan atau berbahaya mempengaruhi semua agents lainnya dalam project tersebut.
Mengapa penting
Menyoroti kegagalan isolasi multi-tenancy sistemik dalam platform conversational-AI berbasis cloud utama yang banyak digunakan untuk chatbots yang menghadap pelanggan; meskipun sudah di-patch tanpa eksploitasi yang diketahui, hal ini menunjukkan bagaimana shared execution environments dalam platform GenAI menciptakan blast-radius risk di seluruh AI agents pelanggan yang terisolasi.
Vektor serangan
Penyerang dengan izin dialogflow.playbooks.update pada single Code-Block-enabled agent dapat menyuntikkan persistent malicious Python code ke dalam shared Google-managed Cloud Run execution environment (melalui writable code_execution_env.py file dan Python exec()), mempengaruhi setiap Dialogflow CX agent lainnya menggunakan Code Blocks dalam GCP project yang sama — memungkinkan silent conversation monitoring, bot impersonation, dan large-scale phishing campaigns.
Sistem yang terdampak
Google Cloud Dialogflow CX (Playbooks dengan fitur Code Blocks) — fully patched pada Juni 2026
Mitigasi
Sepenuhnya diperbaiki oleh Google (initial fix April 2026, complete remediation Juni 2026); pelanggan disarankan untuk audit Dialogflow CX configurations untuk suspicious Playbook updates dan review past playbook update actions.