A Varonis descobriu vulnerabilidades críticas no Dialogflow CX do Google Cloud que permitiam que blocos de código maliciosos em Playbooks sequestrassem agentes, exfiltrassem registros de bate-papo e roubassem credenciais. O ambiente compartilhado do Cloud Run apresentava privilégios excessivos, permitindo que um agente comprometido controlasse todos os outros dentro de um projeto, com os ataques permanecendo praticamente indetectáveis no Cloud Logging.
O Google corrigiu essas vulnerabilidades entre abril e junho de 2026. Os pesquisadores recomendaram a revisão dos registros de auditoria, a verificação de erros anômalos e a inspeção manual dos blocos de código em busca de código não autorizado.
A vulnerabilidade permitiu que os atores da ameaça acessassem diferentes agentes de IA, histórico completo de conversas e dados confidenciais, como credenciais de login. O Dialogflow CX é uma plataforma de IA que permite aos desenvolvedores criar chatbots de voz e texto, permitindo a inclusão de snippets Python personalizados, conhecidos como Code Blocks, em Playbooks de conversação, todos executados em um serviço Cloud Run compartilhado.
Varonis afirmou que o invasor não precisava de amplo acesso administrativo; a permissão para editar as configurações de um único chatbot foi suficiente para plantar código malicioso. O ambiente Cloud Run não tinha restrições de código, apresentava um sistema de arquivos gravável e incluía saída de Internet pública, o que poderia levar à substituição completa dos arquivos principais.
Uma vez comprometido, um agente poderia assumir o controle de todos os outros no projeto. A limitação do Cloud Logging significava que substituições de arquivos ou lógica injetada não seriam detectadas. Varonis relatou as vulnerabilidades ao Google em novembro de 2025. Uma correção inicial foi lançada em abril de 2026, com resolução total alcançada em junho de 2026.
Não há evidências de quaisquer tentativas de exploração em estado selvagem. Os pesquisadores aconselharam os usuários a revisar os logs de auditoria DATA_WRITE para chamadas Playbooks.UpdatePlaybook e verificar se há erros anômalos de Sessions.DetectIntent.





