Die Sicherheitslücke 'Rogue Agent' (CVE 2026 4764) in Google Cloud Dialogflow CX erlaubte es einem Angreifer mit Bearbeitungsrechten für einen einzelnen Agenten, schädlichen Python Code in gemeinsam genutzte Playbook... Dadurch konnten Angreifer Live Gespräche mitlesen, sich als Chatbot ausgeben, um an sensible Date...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the "Rogue Agent" vulnerability disclosed by Varonis Threat Labs in Google Cloud's Dialo. Article summary: **Answer:** The "Rogue Agent" vulnerability was a critical privilege-escalation chain in Google Cloud's Dialogflow CX that let an attacker with edit rights on one agent inject malicious Python code into shared Playbook C. Topic tags: general, government, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text,
Eine kritische Sicherheitslücke in Google Clouds Dialogflow CX, die den Namen Rogue Agent trägt, hätte es einem Angreifer mit lediglich Bearbeitungsrechten für einen einzigen Chatbot-Agenten ermöglichen können, heimlich Gespräche zu entführen, sensible Daten zu stehlen und jeden anderen KI-Agenten im selben Cloud-Projekt zu kompromittieren.
Das Sicherheitsunternehmen Varonis Threat Labs entdeckte den Fehler Ende 2025 und arbeitete mit Google zusammen, um ihn zu beheben, bevor es zu einer bekannten Ausnutzung kam. Hier erfahren Sie, was passiert ist, wie die Lücke funktionierte und was dies für die Sicherheit von Multi-Agenten-KI-Systemen bedeutet.
Dialogflow CX ist Googles führende Plattform für den Bau konversationeller KI-Agenten – Chatbots und Sprachassistenten, die von Unternehmen für den Kundensupport, Finanzdienstleistungen und im Gesundheitswesen eingesetzt werden . Ein zentrales Feature sind die sogenannten Playbooks, mit denen Entwickler das Verhalten eines Agenten steuern können, indem sie ihnen Code-Blöcke hinzufügen – kleine Python-Programme, die innerhalb der Agenten-Pipeline ausgeführt werden
.
Varonis entdeckte, dass diese Code-Blöcke nicht ausreichend voneinander isoliert waren . Die Angriffskette lief wie folgt ab:
dialogflow.playbooks.update für einen einzelnen Code-Block-fähigen Agenten verfügte, konnte einen manipulierten Playbook-Import erstellen CVE-2026-4764 beschreibt die eigentliche Ursache: eine fehlende Autorisierungsprüfung in der Playbook-Importfunktion . Die Schwachstelle hat einen CVSS-Score von 9,4 und wird als kritisches Sicherheitsrisiko eingestuft
.
Sobald der schädliche Code in einem Opfer-Agenten ausgeführt wurde, konnte der Angreifer Folgendes tun :
Google bestätigte, dass für die Patches kein Kundeneingriff erforderlich war .
Varonis stellte fest, dass die Isolierung zwischen Agenten, die sich Code-Block-Laufzeiten teilen, grundlegend unzureichend war . Selbst nach der Behebung des Import-Autorisierungsproblems erlaubte die Architektur selbst eine agentenübergreifende Code-Ausführung, wenn ein einzelner Agent kompromittiert war – ein Problem auf Designebene, dessen vollständige Behebung den zweiten Patch im Juni 2026 erforderte.
Google fügte außerdem eine Einstellung für Prompt-Sicherheitsprüfungen in der Agentenkonfiguration hinzu, um Prompt-Injection-Angriffe zu erkennen und zu blockieren, die als Teil ähnlicher Angriffsketten in der Zukunft eingesetzt werden könnten .
Es gibt keine Hinweise darauf, dass die Schwachstelle vor dem Patch jemals in freier Wildbahn ausgenutzt wurde . Ein Sprecher von Google Cloud bestätigte: "Wir haben keine bekannten Anzeichen für eine Kompromittierung von Kunden. Es ist kein Kundeneingriff erforderlich."
Die Rogue-Agent-Schwachstelle ist eine deutliche Erinnerung daran, dass die Sicherheitsmodelle, die vielen KI-Agentenplattformen zugrunde liegen, noch nicht mit der Komplexität von Multi-Tenant-Umgebungen mit Code-Ausführung Schritt gehalten haben. Da immer mehr Unternehmen konversationelle KI-Agenten einsetzen, die benutzerdefinierten Code ausführen können, wird die Angriffsfläche von gemeinsam genutzten Laufzeiten zu einem kritischen Problem.
Unternehmen, die Dialogflow CX nutzen, sollten überprüfen, ob die Prompt-Sicherheitsprüfungen aktiviert sind und prüfen, welche Identitäten über die Berechtigung
dialogflow.playbooks.update verfügen – die einzelne Berechtigung, die diese Angriffskette hätte auslösen können .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Die Sicherheitslücke 'Rogue Agent' (CVE 2026 4764) in Google Cloud Dialogflow CX erlaubte es einem Angreifer mit Bearbeitungsrechten für einen einzelnen Agenten, schädlichen Python Code in gemeinsam genutzte Playbook...
Die Sicherheitslücke 'Rogue Agent' (CVE 2026 4764) in Google Cloud Dialogflow CX erlaubte es einem Angreifer mit Bearbeitungsrechten für einen einzelnen Agenten, schädlichen Python Code in gemeinsam genutzte Playbook... Dadurch konnten Angreifer Live Gespräche mitlesen, sich als Chatbot ausgeben, um an sensible Daten zu gelangen, und auf alle anderen KI Agenten im selben Google Cloud Projekt zugreifen.
Varonis entdeckte die Schwachstelle im November 2025; Google veröffentlichte einen ersten Patch im März 2026 (CVE 2026 4764) und einen vollständigen Fix im Juni 2026.