Varonis découvert des vulnérabilités critiques dans Dialogflow CX de Google Cloud qui permettaient aux blocs de code malveillants dans les Playbooks de détourner des agents, d’exfiltrer les journaux de discussion et de voler des informations d’identification. L’environnement partagé Cloud Run présentait des privilèges excessifs, permettant à un agent compromis de contrôler tous les autres au sein d’un projet, les attaques restant pratiquement indétectables dans Cloud Logging.
Google a corrigé ces vulnérabilités entre avril et juin 2026. Les chercheurs ont recommandé d’examiner les journaux d’audit, de rechercher les erreurs anormales et d’inspecter manuellement les blocs de code à la recherche de code non autorisé.
La vulnérabilité a permis aux acteurs malveillants d’accéder à différents agents d’IA, à l’historique complet des conversations et à des données sensibles telles que les informations de connexion. Dialogflow CX est une plate-forme d’IA qui permet aux développeurs de créer des chatbots vocaux et textuels, permettant l’inclusion d’extraits Python personnalisés, appelés blocs de code, dans les playbooks de conversation, tous s’exécutant dans un service Cloud Run partagé.
Varonis a déclaré que l’attaquant n’avait pas besoin d’un large accès administrateur ; l’autorisation de modifier les paramètres d’un seul chatbot était suffisante pour implanter du code malveillant. L’environnement Cloud Run manquait de restrictions de code, comportait un système de fichiers inscriptible et incluait une sortie Internet publique, ce qui pouvait conduire à l’écrasement complet des fichiers clés.
Une fois compromis, un agent pourrait prendre le relais de tous les autres acteurs du projet. La limitation de Cloud Logging signifiait que les écrasements de fichiers ou la logique injectée ne seraient pas détectés. Varonis a signalé les vulnérabilités à Google en novembre 2025. Un premier correctif a été publié en avril 2026, avec une résolution complète atteinte en juin 2026.
Il n’y a aucune preuve de tentatives d’exploitation dans la nature. Les chercheurs ont conseillé aux utilisateurs de consulter les journaux d’audit DATA_WRITE pour les appels Playbooks.UpdatePlaybook et de rechercher les erreurs anormales Sessions.DetectIntent.





