La vulnerabilità 'Rogue Agent' (CVE 2026 4764) in Google Cloud Dialogflow CX permetteva di iniettare codice Python dannoso nei runtime condivisi tra più agenti AI. Con un solo permesso 'dialogflow.playbooks.update', un attaccante poteva leggere chat in tempo reale, impersonare il bot e compromettere tutti gli agenti...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the "Rogue Agent" vulnerability disclosed by Varonis Threat Labs in Google Cloud's Dialo. Article summary: **Answer:** The "Rogue Agent" vulnerability was a critical privilege-escalation chain in Google Cloud's Dialogflow CX that let an attacker with edit rights on one agent inject malicious Python code into shared Playbook C. Topic tags: general, government, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text,
Una catena di vulnerabilità critiche in Google Cloud Dialogflow CX, soprannominata Rogue Agent, avrebbe permesso a un attaccante con soli permessi di modifica su un singolo agente di dirottare silenziosamente le conversazioni, rubare dati sensibili e compromettere ogni altro agente AI presente nello stesso progetto cloud.
Il team Varonis Threat Labs ha scoperto la falla a fine 2025 e ha collaborato con Google per correggerla prima che venisse sfruttata. Ecco come funzionava, quali erano i rischi e cosa significa per la sicurezza dei sistemi AI multi-agente.
Dialogflow CX è la piattaforma di punta di Google Cloud per la creazione di agenti conversazionali basati su AI: chatbot e assistenti vocali utilizzati dalle aziende per l'assistenza clienti, i servizi finanziari e la sanità . Una caratteristica chiave sono i Playbook, che permettono agli sviluppatori di controllare il comportamento dell'agente tramite Code Blocks (blocchi di codice Python) integrati direttamente nel flusso di elaborazione dell'agente
.
Varonis ha scoperto che questi Code Blocks non avevano un adeguato isolamento tra diversi agenti . La catena d'attacco funzionava così:
dialogflow.playbooks.update su un agente con Code Blocks poteva creare un playbook dannoso da importare CVE-2026-4764 descrive la causa principale: una mancanza di controllo di autorizzazione nella funzione di importazione dei playbook . La vulnerabilità ha un punteggio CVSS di 9.4, classificandola come rischio di sicurezza critico
.
Una volta che il codice malevolo era in esecuzione all'interno di un agente vittima, l'attaccante poteva :
Google ha confermato che non è stata richiesta alcuna azione da parte dei clienti per l'applicazione delle patch .
Varonis ha identificato che l'isolamento tra agenti che condividevano i runtime dei Code Blocks era fondamentalmente insufficiente . Anche dopo aver corretto l'autorizzazione di importazione, l'architettura stessa permetteva l'esecuzione di codice tra agenti diversi se uno qualsiasi di essi veniva compromesso. Questo problema a livello di progettazione ha richiesto la seconda patch di giugno 2026 per essere risolto completamente.
Google ha anche aggiunto un'impostazione di controllo di sicurezza del prompt nella configurazione dell'agente per aiutare a rilevare e bloccare gli attacchi di injection nei prompt che potrebbero essere usati in future catene di sfruttamento simili .
Non ci sono prove che la vulnerabilità sia mai stata sfruttata prima della correzione . Un portavoce di Google Cloud ha confermato: "Non abbiamo alcuna indicazione nota di compromissione dei clienti. Non è richiesta alcuna azione da parte dei clienti."
La vulnerabilità Rogue Agent è un duro promemoria del fatto che i modelli di sicurezza alla base di molte piattaforme di agenti AI non hanno ancora tenuto il passo con la complessità degli ambienti multi-tenant che eseguono codice personalizzato. Con l'aumento delle aziende che implementano agenti conversazionali in grado di eseguire codice personalizzato, la superficie d'attacco dei runtime condivisi diventa una preoccupazione critica .
Le organizzazioni che utilizzano Dialogflow CX dovrebbero verificare che i controlli di sicurezza dei prompt siano attivati e controllare quali identità hanno i permessi
dialogflow.playbooks.update — l'unico permesso che poteva avviare questa catena d'attacco .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
La vulnerabilità 'Rogue Agent' (CVE 2026 4764) in Google Cloud Dialogflow CX permetteva di iniettare codice Python dannoso nei runtime condivisi tra più agenti AI.
La vulnerabilità 'Rogue Agent' (CVE 2026 4764) in Google Cloud Dialogflow CX permetteva di iniettare codice Python dannoso nei runtime condivisi tra più agenti AI. Con un solo permesso 'dialogflow.playbooks.update', un attaccante poteva leggere chat in tempo reale, impersonare il bot e compromettere tutti gli agenti dello stesso progetto.
Scoperta da Varonis a novembre 2025, Google ha rilasciato una patch parziale a marzo 2026 e una correzione completa a giugno 2026.