dialogflow.playbooks.updateこの脆弱性の根幹は、Playbookインポート機能における認可チェックの欠如(Missing Authorization)であり、CVE-2026-4764として識別されています。その深刻度はCVSSスコア9.4と評価され、緊急のセキュリティリスクに位置づけられました
。
Varonisは、Code Blocksの実行環境を共有するエージェント間の分離が根本的に不十分であることを特定しました。Playbookインポートの認可問題が修正された後も、もし1つのエージェントが侵害された場合、アーキテクチャそのものがクロスエージェントのコード実行を許してしまうという設計上の問題が残っていました。この問題に対処するために、2026年6月の2回目のパッチが必要となりました。
また、Googleはエージェント設定にプロンプトセキュリティチェックの機能を追加しました。これは、今回のような攻撃連鎖の一部として悪用される可能性のあるプロンプトインジェクション攻撃を検出・ブロックするのに役立ちます。
パッチが適用される前に、この脆弱性が実際に悪用されたという証拠は確認されていません。Google Cloudの広報担当者は、「お客様のシステムが侵害されたという既知の兆候はありません。お客様による対応は不要です。」と述べています
。
Rogue Agent脆弱性は、多くのAIエージェントプラットフォームの基盤となるセキュリティモデルが、マルチテナントでコードを実行する複雑な環境にまだ追いついていないことを如実に示しています。カスタムコードを実行できる会話型AIエージェントを導入する企業が増えるにつれて、共有ランタイムにおける攻撃対象領域は極めて重要な懸念事項となります。