A vulnerabilidade 'Rogue Agent' (CVE 2026 4764) era uma cadeia de escalonamento de privilégios no Dialogflow CX do Google Cloud que permitia a um atacante com direitos de edição em um agente injetar código Python mali... A Varonis descobriu o problema em novembro de 2025.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the "Rogue Agent" vulnerability disclosed by Varonis Threat Labs in Google Cloud's Dialo. Article summary: **Answer:** The "Rogue Agent" vulnerability was a critical privilege-escalation chain in Google Cloud's Dialogflow CX that let an attacker with edit rights on one agent inject malicious Python code into shared Playbook C. Topic tags: general, government, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text,
Uma cadeia de vulnerabilidades crítica no Dialogflow CX do Google Cloud, apelidada de Rogue Agent, poderia permitir que um invasor, com apenas permissões de edição em um único agente de chatbot, sequestrasse conversas silenciosamente, roubasse dados confidenciais e comprometesse todos os outros agentes de IA no mesmo projeto de nuvem.
A empresa de segurança Varonis Threat Labs descobriu a falha no final de 2025 e trabalhou com o Google para corrigi-la antes que qualquer exploração conhecida ocorresse. Veja o que aconteceu, como funcionava e o que isso significa para a segurança de sistemas de IA com múltiplos agentes.
O Dialogflow CX é a plataforma principal do Google Cloud para a criação de agentes de IA conversacionais — chatbots e assistentes de voz usados por empresas para suporte ao cliente, serviços financeiros e saúde . Um recurso-chave são os Playbooks, que permitem que desenvolvedores controlem o comportamento do agente anexando Blocos de Código — trechos de código Python que são executados dentro do pipeline do agente
.
A Varonis descobriu que esses Blocos de Código careciam de isolamento adequado entre os agentes . A cadeia de ataque funcionava da seguinte forma:
dialogflow.playbooks.update em um agente com Bloco de Código poderia criar uma importação de playbook maliciosa CVE-2026-4764 descreve a causa raiz: uma verificação de autorização ausente na funcionalidade de importação de playbook . A vulnerabilidade tem uma pontuação CVSS de 9,4, marcando-a como um risco de segurança crítico
.
Uma vez que o código malicioso estivesse em execução dentro de um agente vítima, o atacante poderia :
O Google confirmou que nenhuma ação do cliente foi necessária para os patches .
A Varonis identificou que o isolamento entre agentes que compartilham tempos de execução de Bloco de Código era fundamentalmente insuficiente . Mesmo após corrigir a autorização de importação, a própria arquitetura permitia a execução de código entre agentes se um único agente fosse comprometido — um problema de nível de design que exigiu o segundo patch em junho de 2026 para ser totalmente resolvido.
O Google também adicionou uma configuração de verificação de segurança de prompt nas configurações do agente para ajudar a detectar e bloquear ataques de injeção de prompt que poderiam ser usados como parte de cadeias de exploração semelhantes no futuro .
Não há evidências de que a vulnerabilidade tenha sido explorada na natureza antes do patch . Um porta-voz do Google Cloud confirmou: "Não temos nenhuma indicação conhecida de comprometimento do cliente. Nenhuma ação do cliente é necessária."
A vulnerabilidade Rogue Agent é um lembrete claro de que os modelos de segurança subjacentes a muitas plataformas de agentes de IA ainda não acompanharam a complexidade de ambientes multilocatários que executam código. À medida que mais empresas implantam agentes de IA conversacionais que podem executar código personalizado, a superfície de ataque do runtime compartilhado torna-se uma preocupação crítica.
Organizações que usam o Dialogflow CX devem verificar se as verificações de segurança de prompt estão ativadas e auditar quais identidades têm permissões
dialogflow.playbooks.update — a única permissão que poderia ter iniciado essa cadeia de ataque .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
A vulnerabilidade 'Rogue Agent' (CVE 2026 4764) era uma cadeia de escalonamento de privilégios no Dialogflow CX do Google Cloud que permitia a um atacante com direitos de edição em um agente injetar código Python mali...
A vulnerabilidade 'Rogue Agent' (CVE 2026 4764) era uma cadeia de escalonamento de privilégios no Dialogflow CX do Google Cloud que permitia a um atacante com direitos de edição em um agente injetar código Python mali... A Varonis descobriu o problema em novembro de 2025. O Google emitiu um patch inicial em março de 2026 e uma correção completa até junho de 2026.