Kerentanan  ·  2026-07-09

Rogue Agent — Google Dialogflow CX Code Blocks Cross-Agent Code Injection Memungkinkan Chatbot Hijacking

KerentananHigh dampakGlobal
Varonis Threat Labs mengungkap 'Rogue Agent' (dilaporkan ke Google November 2025, dipublikasikan secara detail 7 Juli 2026): kerentanan kritis dalam Dialogflow CX di mana Code Blocks dieksekusi dalam shared Cloud Run instance di seluruh semua agents dalam suatu project, memungkinkan code dari satu agent yang dikompromikan atau berbahaya mempengaruhi semua agents lainnya dalam project tersebut.
Menyoroti kegagalan isolasi multi-tenancy sistemik dalam platform conversational-AI berbasis cloud utama yang banyak digunakan untuk chatbots yang menghadap pelanggan; meskipun sudah di-patch tanpa eksploitasi yang diketahui, hal ini menunjukkan bagaimana shared execution environments dalam platform GenAI menciptakan blast-radius risk di seluruh AI agents pelanggan yang terisolasi.
Penyerang dengan izin dialogflow.playbooks.update pada single Code-Block-enabled agent dapat menyuntikkan persistent malicious Python code ke dalam shared Google-managed Cloud Run execution environment (melalui writable code_execution_env.py file dan Python exec()), mempengaruhi setiap Dialogflow CX agent lainnya menggunakan Code Blocks dalam GCP project yang sama — memungkinkan silent conversation monitoring, bot impersonation, dan large-scale phishing campaigns.
Google Cloud Dialogflow CX (Playbooks dengan fitur Code Blocks) — fully patched pada Juni 2026
Sepenuhnya diperbaiki oleh Google (initial fix April 2026, complete remediation Juni 2026); pelanggan disarankan untuk audit Dialogflow CX configurations untuk suspicious Playbook updates dan review past playbook update actions.
Varonis - Rogue Agent: How a Single Code Block Could Hijack Your AI Conversations in Google's DialogFlowThe Hacker News - Rogue Agent Flaw Could Have Let Attackers Hijack Google Dialogflow CX Chatbots
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →