De 'Rogue Agent' kwetsbaarheid (CVE 2026 4764) was een kritiek privilege escalatielek in Google Cloud's Dialogflow CX, waarmee een aanvaller met alleen bewerkingsrechten op één agent schadelijke Python code kon inject... Een aanvaller kon hiermee live gesprekken van andere chatbots afluisteren, zich voordoen als de...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the "Rogue Agent" vulnerability disclosed by Varonis Threat Labs in Google Cloud's Dialo. Article summary: **Answer:** The "Rogue Agent" vulnerability was a critical privilege-escalation chain in Google Cloud's Dialogflow CX that let an attacker with edit rights on one agent inject malicious Python code into shared Playbook C. Topic tags: general, government, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text,
Een kritieke keten van kwetsbaarheden in Google Cloud's Dialogflow CX, genaamd Rogue Agent, stelde een aanvaller met alleen bewerkingsrechten op één chatbot in staat om stilletjes gesprekken te kapen, gevoelige gegevens te stelen en elke andere AI-agent in hetzelfde cloudproject te compromitteren.
Beveiligingsbedrijf Varonis Threat Labs ontdekte de fout eind 2025 en werkte samen met Google om deze te patchen voordat er sprake was van bekend misbruik. Dit is wat er gebeurde, hoe het werkte en wat het betekent voor de beveiliging van multi-agent AI-systemen.
Dialogflow CX is het vlaggenschipplatform van Google Cloud voor het bouwen van conversationele AI-agents: chatbots en spraakassistenten die door bedrijven worden gebruikt voor klantenservice, financiële diensten en gezondheidszorg . Een belangrijke functie zijn Playbooks, waarmee ontwikkelaars het gedrag van een agent kunnen sturen door er inline Code Blocks aan te koppelen: stukjes Python-code die binnen de agent-pipeline worden uitgevoerd
.
Varonis ontdekte dat deze Code Blocks niet goed van elkaar waren geïsoleerd tussen agents . De aanvalsketen verliep als volgt:
dialogflow.playbooks.update-machtiging had voor één agent met Code Blocks, kon een kwaadaardige playbook-import maken CVE-2026-4764 beschrijft de kernoorzaak: een ontbrekende autorisatiecontrole in de playbook-importfunctionaliteit . De kwetsbaarheid heeft een CVSS-score van 9,4, wat het een kritiek beveiligingsrisico maakt
.
Zodra de kwaadaardige code actief was in een slachtoffer-agent, kon de aanvaller :
Google bevestigde dat er geen actie van klanten nodig was voor de patches .
Varonis identificeerde dat de isolatie tussen agents die Code Block-runtimes deelden fundamenteel onvoldoende was . Zelfs na het oplossen van de autorisatie bij het importeren, maakte de architectuur zelf het mogelijk dat code tussen agents werd uitgevoerd als een enkele agent was gecompromitteerd. Dit was een probleem op ontwerpniveau dat pas volledig werd aangepakt met de tweede patch in juni 2026.
Google voegde ook een prompt security check-instelling toe in de agentconfiguratie om prompt-injectieaanvallen te detecteren en te blokkeren die als onderdeel van vergelijkbare aanvalsketens in de toekomst zouden kunnen worden gebruikt .
Er is geen bewijs dat de kwetsbaarheid ooit in het wild is misbruikt vóór de patch . Een woordvoerder van Google Cloud bevestigde: "We hebben geen aanwijzingen dat klanten zijn gecompromitteerd. Er is geen klantactie vereist."
De Rogue Agent-kwetsbaarheid is een duidelijke herinnering dat de beveiligingsmodellen van veel AI-agentplatforms nog niet zijn meegegroeid met de complexiteit van multi-tenant omgevingen die code uitvoeren. Naarmate meer bedrijven conversationele AI-agents inzetten die aangepaste code kunnen draaien, wordt het aanvalsoppervlak van gedeelde runtimes een kritiek punt.
Organisaties die Dialogflow CX gebruiken, moeten controleren of prompt security checks zijn ingeschakeld en controleren welke identiteiten
dialogflow.playbooks.update-machtigingen hebben: de enkele machtiging die deze aanvalsketen had kunnen starten .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
De 'Rogue Agent' kwetsbaarheid (CVE 2026 4764) was een kritiek privilege escalatielek in Google Cloud's Dialogflow CX, waarmee een aanvaller met alleen bewerkingsrechten op één agent schadelijke Python code kon inject...
De 'Rogue Agent' kwetsbaarheid (CVE 2026 4764) was een kritiek privilege escalatielek in Google Cloud's Dialogflow CX, waarmee een aanvaller met alleen bewerkingsrechten op één agent schadelijke Python code kon inject... Een aanvaller kon hiermee live gesprekken van andere chatbots afluisteren, zich voordoen als de chatbot om gevoelige gegevens te stelen, en zich door het hele project verplaatsen naar alle AI agents.
Varonis ontdekte het lek in november 2025. Google bracht in maart 2026 een eerste patch uit (CVE 2026 4764) en loste het probleem volledig op in juni 2026.