Varonis scoperto vulnerabilità critiche in Dialogflow CX di Google Cloud che consentivano ai blocchi di codice dannosi nei Playbook di dirottare agenti, esfiltrare log di chat e rubare credenziali. L’ambiente condiviso Cloud Run presentava privilegi eccessivi, consentendo a un agente compromesso di controllare tutti gli altri all’interno di un progetto, mentre gli attacchi rimanevano praticamente non rilevabili in Cloud Logging.
Google ha corretto queste vulnerabilità tra aprile e giugno 2026. I ricercatori hanno consigliato di rivedere i registri di controllo, verificare la presenza di errori anomali e ispezionare manualmente i blocchi di codice per individuare codice non autorizzato.
La vulnerabilità ha consentito agli autori delle minacce di accedere a diversi agenti IA, alla cronologia completa delle conversazioni e a dati sensibili come le credenziali di accesso. Dialogflow CX è una piattaforma AI che consente agli sviluppatori di creare chatbot vocali e di testo, consentendo l’inclusione di snippet Python personalizzati, noti come Code Blocks, all’interno di playbook di conversazione, tutti eseguiti in un servizio Cloud Run condiviso.
Varonis ha affermato che l’aggressore non aveva bisogno di un ampio accesso amministrativo; il permesso di modificare le impostazioni di un singolo chatbot era sufficiente per inserire codice dannoso. L’ambiente Cloud Run era privo di restrizioni sul codice, presentava un file system scrivibile e includeva l’uscita Internet pubblica, che poteva portare alla completa sovrascrittura dei file chiave.
Una volta compromesso, un agente potrebbe subentrare a tutti gli altri nel progetto. La limitazione del Cloud Logging significava che le sovrascritture dei file o la logica inserita non sarebbero state rilevate. Varonis ha segnalato le vulnerabilità a Google nel novembre 2025. Una correzione iniziale è stata rilasciata nell’aprile 2026, con la risoluzione completa raggiunta entro giugno 2026.
Non ci sono prove di tentativi di sfruttamento in natura. I ricercatori hanno consigliato agli utenti di rivedere i log di controllo DATA_WRITE per le chiamate Playbooks.UpdatePlaybook e di verificare la presenza di errori anomali Sessions.DetectIntent.





