事件经过
Varonis 威胁实验室披露了"恶意代理"(2025 年 11 月上报 Google,2026 年 7 月 7 日公开披露):Dialogflow CX 中的一个关键漏洞,其中代码块在跨项目中的所有代理的共享 Cloud Run 实例中执行,允许一个被攻破或恶意的代理的代码影响该项目中的所有其他代理。
影响分析
突显了主要云托管对话式 AI 平台中的系统级多租户隔离失败,该平台被广泛用于面向客户的聊天机器人;尽管已打补丁且没有已知利用,但它说明了 GenAI 平台中共享执行环境如何在隔离的客户 AI 代理中造成波及影响的风险。
攻击途径
具有单个启用代码块的代理上 dialogflow.playbooks.update 权限的攻击者可将持久恶意 Python 代码注入到共享的 Google 管理的 Cloud Run 执行环境中(通过可写的 code_execution_env.py 文件和 Python exec()),影响同一 GCP 项目中使用代码块的所有其他 Dialogflow CX 代理——支持无声对话监控、机器人冒充和大规模钓鱼活动。
受影响系统
Google Cloud Dialogflow CX(Playbooks 与代码块功能)——已于 2026 年 6 月完全修补
缓解措施
Google 已完全修复(2026 年 4 月初始修复,2026 年 6 月完全修复);建议客户审计 Dialogflow CX 配置,查找可疑的 Playbook 更新,并查看过去的 Playbook 更新操作。