Google Cloud Dialogflow CX में 'Rogue Agent' (CVE 2026 4764) नामक एक गंभीर खामी पाई गई, जिसमें एक एजेंट पर एडिट राइट्स वाला हमलावर शेयर्ड प्लेबुक कोड ब्लॉक्स में मैलिशियस Python कोड इंजेक्ट कर सकता था [1][6]। इस खामी का फायदा उठाकर हमलावर लाइव चैट्स पढ़ सकते थे, यूजर्स को फर्जी संदेश भेजकर पासवर्ड या फाइनेंशियल डेटा...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the "Rogue Agent" vulnerability disclosed by Varonis Threat Labs in Google Cloud's Dialo. Article summary: **Answer:** The "Rogue Agent" vulnerability was a critical privilege-escalation chain in Google Cloud's Dialogflow CX that let an attacker with edit rights on one agent inject malicious Python code into shared Playbook C. Topic tags: general, government, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text,
Google Cloud के लोकप्रिय AI चैटबॉट प्लेटफॉर्म Dialogflow CX में एक गंभीर सुरक्षा खामी का पता चला है, जिसे 'Rogue Agent' (दुष्ट एजेंट) नाम दिया गया है। वरोनिस थ्रेट लैब्स ने यह खामी खोजी और Google को इसकी जानकारी दी, जिसके बाद Google ने इसे ठीक करने के लिए पैच जारी किए ।
Dialogflow CX एक ऐसा प्लेटफॉर्म है जिसका इस्तेमाल कंपनियां ग्राहक सहायता, बैंकिंग और हेल्थकेयर जैसी सेवाओं के लिए AI चैटबॉट और वॉयस असिस्टेंट बनाने में करती हैं । इसकी एक प्रमुख विशेषता है 'प्लेबुक्स' और 'कोड ब्लॉक्स'। कोड ब्लॉक्स की मदद से डेवलपर्स Python में लिखे गए छोटे-छोटे कोड स्निपेट्स को एजेंट के पाइपलाइन में जोड़ सकते हैं ताकि उसके व्यवहार को बेहतर ढंग से नियंत्रित किया जा सके
।
वरोनिस ने पाया कि ये कोड ब्लॉक्स अलग-अलग एजेंट्स के लिए एक साझा (share) एक्जीक्यूशन एनवायरनमेंट का इस्तेमाल करते थे और उनके बीच उचित आइसोलेशन नहीं था । हमले का तरीका कुछ इस प्रकार था:
dialogflow.playbooks.update की अनुमति थी, वह एक मैलिशियस प्लेबुक इम्पोर्ट कर सकता था इस खामी को CVE-2026-4764 नाम दिया गया है । इसकी गंभीरता को देखते हुए इसे CVSS स्कोर 9.4 दिया गया है, जो इसे एक क्रिटिकल सुरक्षा जोखिम बनाता है
।
अगर यह खामी किसी हमलावर के हाथ लग जाती, तो वह निम्नलिखित कार्य कर सकता था :
Google ने पुष्टि की है कि इन पैच को लागू करने के लिए ग्राहकों को कोई कार्रवाई करने की आवश्यकता नहीं है ।
अच्छी बात यह है कि इस बात का कोई सबूत नहीं है कि पैच जारी होने से पहले इस खामी का वास्तविक दुनिया में दुरुपयोग हुआ हो । Google Cloud के एक प्रवक्ता ने कहा, "हमारे पास ग्राहकों के साथ समझौता होने का कोई ज्ञात संकेत नहीं है। किसी ग्राहक को कार्रवाई करने की आवश्यकता नहीं है।"
Rogue Agent खामी एक स्पष्ट चेतावनी है कि मौजूदा AI एजेंट प्लेटफॉर्म की सुरक्षा व्यवस्था अभी भी मल्टी-टेनेंट और कोड एग्जीक्यूशन वातावरण की जटिलताओं के अनुरूप नहीं है। Dialogflow CX का उपयोग करने वाले संगठनों को सलाह दी जाती है कि वे प्रॉम्प्ट सुरक्षा जांच को सक्षम करें और यह ऑडिट करें कि किन पहचानों के पास
dialogflow.playbooks.update अनुमतियां हैं, क्योंकि यही वह एक अनुमति थी जो इस हमले की शुरुआत कर सकती थी ।
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Google Cloud Dialogflow CX में 'Rogue Agent' (CVE 2026 4764) नामक एक गंभीर खामी पाई गई, जिसमें एक एजेंट पर एडिट राइट्स वाला हमलावर शेयर्ड प्लेबुक कोड ब्लॉक्स में मैलिशियस Python कोड इंजेक्ट कर सकता था [1][6]।
Google Cloud Dialogflow CX में 'Rogue Agent' (CVE 2026 4764) नामक एक गंभीर खामी पाई गई, जिसमें एक एजेंट पर एडिट राइट्स वाला हमलावर शेयर्ड प्लेबुक कोड ब्लॉक्स में मैलिशियस Python कोड इंजेक्ट कर सकता था [1][6]। इस खामी का फायदा उठाकर हमलावर लाइव चैट्स पढ़ सकते थे, यूजर्स को फर्जी संदेश भेजकर पासवर्ड या फाइनेंशियल डेटा चुरा सकते थे [4][6]।
Varonis ने नवंबर 2025 में खामी खोजी, Google ने 15 मार्च 2026 को पहला पैच (CVE 2026 4764) जारी किया और जून 2026 में पूरी तरह से सुरक्षा व्यवस्था ठीक की [3][4]।