Уязвимость Rogue Agent (CVE 2026 4764) позволяла атакующему с правами редактирования одного AI агента в Dialogflow CX внедрить вредоносный Python код в общие Playbook Code Blocks и захватить другие агенты в том же про... Атакующий мог читать переписку пользователей, отправлять сообщения от имени чат бота (фишинг) и...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the "Rogue Agent" vulnerability disclosed by Varonis Threat Labs in Google Cloud's Dialo. Article summary: **Answer:** The "Rogue Agent" vulnerability was a critical privilege-escalation chain in Google Cloud's Dialogflow CX that let an attacker with edit rights on one agent inject malicious Python code into shared Playbook C. Topic tags: general, government, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text,
Критическая цепочка уязвимостей в сервисе Google Cloud Dialogflow CX, получившая название Rogue Agent, могла позволить злоумышленнику, имеющему всего лишь права на редактирование одного чат-бота, незаметно захватывать диалоги, похищать конфиденциальные данные и компрометировать всех остальных AI-агентов в том же облачном проекте.
Исследователи безопасности из Varonis Threat Labs обнаружили эту уязвимость в конце 2025 года и совместно с Google устранили её до того, как злоумышленники могли ею воспользоваться. Разбираемся, как это работало и какие уроки стоит извлечь.
Dialogflow CX — это флагманская платформа Google Cloud для создания разговорных AI-агентов: чат-ботов и голосовых помощников, которые широко используются в корпоративном секторе для поддержки клиентов, в финансовых услугах и здравоохранении . Ключевая функция платформы — Playbooks (сценарии), которые позволяют разработчикам управлять поведением агента, используя встроенные Code Blocks — фрагменты кода на Python, выполняемые внутри конвейера агента
.
Varonis обнаружил, что эти Code Blocks не имеют должной изоляции между разными агентами . Цепочка атак выглядела так:
dialogflow.playbooks.update хотя бы на одном агенте с Code Blocks, мог создать вредоносный импорт сценария (playbook) Эта проблема описана как CVE-2026-4764 — отсутствие проверки авторизации в функции импорта сценариев . Уязвимость получила оценку 9.4 по шкале CVSS, что соответствует критическому уровню опасности
.
Получив контроль над чужим агентом, злоумышленник мог :
Представители Google подтвердили, что никаких дополнительных действий со стороны клиентов не требовалось .
Исследователи Varonis указали, что изоляция между агентами, использующими общие среды выполнения Code Blocks, была недостаточной . Даже после исправления ошибки авторизации при импорте сама архитектура позволяла выполнение кода между агентами, если какой-либо из них был скомпрометирован. Это потребовало второго патча в июне 2026 года.
Кроме того, Google добавил настройку проверки безопасности промптов в конфигурации агента, которая помогает обнаруживать и блокировать атаки с внедрением промптов (prompt injection), которые могли бы использоваться в подобных атаках в будущем .
Нет никаких доказательств того, что эта уязвимость была использована злоумышленниками до выхода патча . Представитель Google Cloud заявил: «У нас нет никаких свидетельств компрометации клиентов. Действия клиентов не требуются»
.
Уязвимость Rogue Agent — яркое напоминание о том, что модели безопасности, лежащие в основе многих платформ с AI-агентами, пока не успевают за сложностью мультитенантных сред с исполнением кода. По мере того как компании всё активнее внедряют разговорных AI-агентов с возможностью выполнения пользовательского кода, поверхность атаки, связанная с разделяемыми средами выполнения, становится критически важной.
Организациям, использующим Dialogflow CX, рекомендуется проверить, включена ли проверка безопасности промптов , а также провести аудит того, у кого есть разрешение
dialogflow.playbooks.update — единственное разрешение, которое могло запустить эту цепочку атак .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Уязвимость Rogue Agent (CVE 2026 4764) позволяла атакующему с правами редактирования одного AI агента в Dialogflow CX внедрить вредоносный Python код в общие Playbook Code Blocks и захватить другие агенты в том же про...
Уязвимость Rogue Agent (CVE 2026 4764) позволяла атакующему с правами редактирования одного AI агента в Dialogflow CX внедрить вредоносный Python код в общие Playbook Code Blocks и захватить другие агенты в том же про... Атакующий мог читать переписку пользователей, отправлять сообщения от имени чат бота (фишинг) и получать доступ ко всем агентам проекта, используя единую среду выполнения кода.
Varonis обнаружила проблему в ноябре 2025 года. Google выпустил первый патч в марте 2026 года, а полное исправление — в июне 2026 года.