무슨 일이 있었나
Varonis Threat Labs는 '악성 에이전트'를 공개했습니다 (2025년 11월 Google에 보고, 2026년 7월 7일 공개 상세 공개): Dialogflow CX의 중대 취약점으로, 코드 블록이 프로젝트의 모든 에이전트에 걸쳐 공유 Cloud Run 인스턴스에서 실행되어 손상되거나 악의적인 하나의 에이전트 코드가 해당 프로젝트의 다른 모든 에이전트에 영향을 미칠 수 있습니다.
왜 중요한가
고객 대면 챗봇에 광범위하게 사용되는 주요 클라우드 호스팅 대화형 AI 플랫폼의 체계적 다중 테넌시 격리 실패를 강조합니다; 패치되었으며 알려진 악용이 없지만, GenAI 플랫폼의 공유 실행 환경이 격리된 고객 AI 에이전트 전반에 걸쳐 영향 반경(blast-radius) 위험을 어떻게 생성하는지 보여줍니다.
공격 경로
단일 코드 블록 지원 에이전트에 대한 dialogflow.playbooks.update 권한을 가진 공격자는 공유 Google 관리 Cloud Run 실행 환경에 악의적 Python 코드를 지속적으로 인젝션할 수 있습니다 (쓰기 가능한 code_execution_env.py 파일 및 Python exec() 를 통해), 동일한 GCP 프로젝트 내에서 코드 블록을 사용하는 다른 모든 Dialogflow CX 에이전트에 영향을 미칩니다 — 조용한 대화 모니터링, 봇 가장, 대규모 피싱 캠페인을 가능하게 합니다.
영향받는 시스템
Google Cloud Dialogflow CX (코드 블록 기능이 있는 Playbooks) — 2026년 6월까지 패치 완료
완화 방안
Google에서 완전히 해결됨 (초기 수정 2026년 4월, 완전 완화 2026년 6월); 고객은 의심스러운 Playbook 업데이트에 대해 Dialogflow CX 구성을 감사하고 과거 playbook 업데이트 작업을 검토하도록 권고받습니다.