Varonis ontdekte kritieke kwetsbaarheden in Dialogflow CX van Google Cloud waardoor kwaadaardige codeblokken in Playbooks agenten konden kapen, chatlogboeken konden exfiltreren en inloggegevens konden stelen. De gedeelde Cloud Run-omgeving beschikte over buitensporige bevoegdheden, waardoor één gecompromitteerde agent alle anderen binnen een project kon controleren, terwijl aanvallen vrijwel ondetecteerbaar bleven in Cloud Logging.
Google heeft deze kwetsbaarheden tussen april en juni 2026 gepatcht. Onderzoekers raden aan om auditlogboeken te bekijken, te controleren op abnormale fouten en codeblokken handmatig te inspecteren op ongeautoriseerde code.
Door de kwetsbaarheid kregen bedreigingsactoren toegang tot verschillende AI-agenten, een volledige gespreksgeschiedenis en gevoelige gegevens zoals inloggegevens. Dialogflow CX is een AI-platform waarmee ontwikkelaars spraak- en tekstchatbots kunnen bouwen, waardoor aangepaste Python-fragmenten, bekend als Code Blocks, kunnen worden opgenomen in gespreksplaybooks, die allemaal worden uitgevoerd in een gedeelde Cloud Run-service.
Varonis verklaarde dat de aanvaller geen brede beheerderstoegang nodig had; toestemming om de instellingen van een enkele chatbot te bewerken was voldoende om kwaadaardige code te plaatsen. De Cloud Run-omgeving had geen codebeperkingen, beschikte over een beschrijfbaar bestandssysteem en omvatte openbaar internetverkeer, wat kon leiden tot het volledig overschrijven van sleutelbestanden.
Eenmaal gecompromitteerd, kan een agent alle anderen in het project overnemen. De beperking van Cloud Logging zorgde ervoor dat bestandsoverschrijvingen of geïnjecteerde logica onopgemerkt bleven. Varonis rapporteerde de kwetsbaarheden in november 2025 aan Google. In april 2026 werd een eerste oplossing uitgebracht, met een volledige oplossing in juni 2026.
Er zijn geen aanwijzingen voor pogingen tot exploitatie in het wild. Onderzoekers adviseerden gebruikers om de DATA_WRITE-auditlogboeken voor Playbooks.UpdatePlaybook-aanroepen te bekijken en te controleren op afwijkende Sessions.DetectIntent-fouten.





