Dataconomy FR
Subscribe
No Result
View All Result
Dataconomy FR
Subscribe
No Result
View All Result
Dataconomy FR
No Result
View All Result

Une faille de Google Dialogflow CX permet aux chercheurs de créer des agents malveillants

byKerem Gülen
juillet 14, 2026
in Recherche
Home Recherche
Share on FacebookShare on Twitter
Google Preferred Source

Varonis découvert des vulnérabilités critiques dans Dialogflow CX de Google Cloud qui permettaient aux blocs de code malveillants dans les Playbooks de détourner des agents, d’exfiltrer les journaux de discussion et de voler des informations d’identification. L’environnement partagé Cloud Run présentait des privilèges excessifs, permettant à un agent compromis de contrôler tous les autres au sein d’un projet, les attaques restant pratiquement indétectables dans Cloud Logging.

Google a corrigé ces vulnérabilités entre avril et juin 2026. Les chercheurs ont recommandé d’examiner les journaux d’audit, de rechercher les erreurs anormales et d’inspecter manuellement les blocs de code à la recherche de code non autorisé.

La vulnérabilité a permis aux acteurs malveillants d’accéder à différents agents d’IA, à l’historique complet des conversations et à des données sensibles telles que les informations de connexion. Dialogflow CX est une plate-forme d’IA qui permet aux développeurs de créer des chatbots vocaux et textuels, permettant l’inclusion d’extraits Python personnalisés, appelés blocs de code, dans les playbooks de conversation, tous s’exécutant dans un service Cloud Run partagé.

Varonis a déclaré que l’attaquant n’avait pas besoin d’un large accès administrateur ; l’autorisation de modifier les paramètres d’un seul chatbot était suffisante pour implanter du code malveillant. L’environnement Cloud Run manquait de restrictions de code, comportait un système de fichiers inscriptible et incluait une sortie Internet publique, ce qui pouvait conduire à l’écrasement complet des fichiers clés.

Une fois compromis, un agent pourrait prendre le relais de tous les autres acteurs du projet. La limitation de Cloud Logging signifiait que les écrasements de fichiers ou la logique injectée ne seraient pas détectés. Varonis a signalé les vulnérabilités à Google en novembre 2025. Un premier correctif a été publié en avril 2026, avec une résolution complète atteinte en juin 2026.

Il n’y a aucune preuve de tentatives d’exploitation dans la nature. Les chercheurs ont conseillé aux utilisateurs de consulter les journaux d’audit DATA_WRITE pour les appels Playbooks.UpdatePlaybook et de rechercher les erreurs anormales Sessions.DetectIntent.

Crédit d’image en vedette

Related Posts

Des chercheurs de Penn State construisent une puce informatique solaire sans batterie

Des chercheurs de Penn State construisent une puce informatique solaire sans batterie

juillet 14, 2026
La recherche anthropique introduit GRAM pour isoler les connaissances dangereuses de l’IA

La recherche anthropique introduit GRAM pour isoler les connaissances dangereuses de l’IA

juillet 9, 2026
Les livraisons mondiales de PC chutent de 5 % alors que la crise de la mémoire provoquée par l’IA frappe les chaînes d’approvisionnement

Les livraisons mondiales de PC chutent de 5 % alors que la crise de la mémoire provoquée par l’IA frappe les chaînes d’approvisionnement

juillet 9, 2026
Seuls 6 % des employés de bureau de Singapour utilisent l’IA quotidiennement, selon Salesforce

Seuls 6 % des employés de bureau de Singapour utilisent l’IA quotidiennement, selon Salesforce

juillet 8, 2026
Gartner : les clients préfèrent ChatGPT aux chatbots d’entreprise

Gartner : les clients préfèrent ChatGPT aux chatbots d’entreprise

juillet 8, 2026
Anthropic J-lens révèle un espace de travail caché à l’intérieur de Claude

Anthropic J-lens révèle un espace de travail caché à l’intérieur de Claude

juillet 7, 2026

Recent Posts

  • La mise à jour de l’algorithme X vise à rendre les réponses plus conviviales
  • Xiaomi dévoile le SUV à prolongateur d’autonomie SkyNomad N90
  • Des chercheurs de Penn State construisent une puce informatique solaire sans batterie
  • Une faille de Google Dialogflow CX permet aux chercheurs de créer des agents malveillants
  • L’accès gratuit à Claude Fable 5 prolongé jusqu’au 19 juillet

Recent Comments

Aucun commentaire à afficher.
Dataconomy FR

COPYRIGHT © DATACONOMY MEDIA GMBH, ALL RIGHTS RESERVED.

  • Home
  • Sample Page

Follow Us

  • Home
  • Sample Page
No Result
View All Result
Subscribe

This website uses cookies to improve your experience. You can choose to accept or reject them. Visit our Privacy Policy.