脆弱性  ·  2026-07-09

Rogue Agent — Google Dialogflow CX Code Blocks Cross-Agent Code Injection Enabling Chatbot Hijacking

脆弱性High 影響度Global
Varonis Threat Labsが「Rogue Agent」を公開しました(2025年11月にGoogleに報告、2026年7月7日に詳細公開)。これはDialogflow CXの重大な脆弱性で、Code Blocksはプロジェクト内のすべてのエージェント間で共有Cloud Runインスタンスで実行され、1つの侵害された、または悪意あるエージェントのコードがそのプロジェクト内の他のすべてのエージェントに影響を与える可能性があります。
顧客対応チャットボットに広く使用されている主要なクラウドホスト型会話AI プラットフォームにおけるシステミックなマルチテナンシー分離の失敗を強調しています。パッチが適用されており既知の悪用はありませんが、GenAIプラットフォーム内の共有実行環境がそれ以外の場合は分離されたカスタマーAIエージェント全体にわたってどのようなブラストラディウスリスクを生成するかを実証しています。
dialogflow.playbooks.update権限を持つ攻撃者は、単一のCode-Block対応エージェント上で永続的な悪意あるPythonコードを共有Google管理Cloud Run実行環境に注入することができます(書き込み可能なcode_execution_env.pyファイルとPython exec()経由で)。同じGCPプロジェクト内でCode Blocksを使用するすべての他のDialogflow CXエージェントに影響を与えます。これにより、サイレント会話監視、ボット偽装、大規模フィッシングキャンペーンが可能になります。
Google Cloud Dialogflow CX(Code Blocks機能付きPlaybooks)— 2026年6月までにパッチ適用済み
Googleによって完全に修復されました(初期修正は2026年4月、完全修復は2026年6月)。顧客はDialogflow CXの設定で疑わしいPlaybookアップデートを監査し、過去のPlaybookアップデートアクションを確認することをお勧めします。
Varonis - Rogue Agent: How a Single Code Block Could Hijack Your AI Conversations in Google's DialogFlowThe Hacker News - Rogue Agent Flaw Could Have Let Attackers Hijack Google Dialogflow CX Chatbots
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →