漏洞  ·  2026-07-09

恶意代理——Google Dialogflow CX 代码块跨代理代码注入导致聊天机器人被劫持

漏洞High 影响Global
Varonis 威胁实验室披露了"恶意代理"(2025 年 11 月上报 Google,2026 年 7 月 7 日公开披露):Dialogflow CX 中的一个关键漏洞,其中代码块在跨项目中的所有代理的共享 Cloud Run 实例中执行,允许一个被攻破或恶意的代理的代码影响该项目中的所有其他代理。
突显了主要云托管对话式 AI 平台中的系统级多租户隔离失败,该平台被广泛用于面向客户的聊天机器人;尽管已打补丁且没有已知利用,但它说明了 GenAI 平台中共享执行环境如何在隔离的客户 AI 代理中造成波及影响的风险。
具有单个启用代码块的代理上 dialogflow.playbooks.update 权限的攻击者可将持久恶意 Python 代码注入到共享的 Google 管理的 Cloud Run 执行环境中(通过可写的 code_execution_env.py 文件和 Python exec()),影响同一 GCP 项目中使用代码块的所有其他 Dialogflow CX 代理——支持无声对话监控、机器人冒充和大规模钓鱼活动。
Google Cloud Dialogflow CX(Playbooks 与代码块功能)——已于 2026 年 6 月完全修补
Google 已完全修复(2026 年 4 月初始修复,2026 年 6 月完全修复);建议客户审计 Dialogflow CX 配置,查找可疑的 Playbook 更新,并查看过去的 Playbook 更新操作。
Varonis - Rogue Agent: How a Single Code Block Could Hijack Your AI Conversations in Google's DialogFlowThe Hacker News - Rogue Agent Flaw Could Have Let Attackers Hijack Google Dialogflow CX Chatbots
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →