Google Cloud Dialogflow CX 爆出「Rogue Agent」漏洞鏈,攻擊者有咗一個 Agent 嘅 Playbook 編輯權限(dialogflow.playbooks.update),就可以向共享嘅 Code Blocks 執行環境注入惡意 Python 碼。 利用呢個漏洞,攻擊者可以騎劫同一個 GCP 項目入面所有用到 Code Blocks 嘅 AI Agent:偷聽對話、冒充 Bot 向客戶釣魚,全面控制成個項目。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the "Rogue Agent" vulnerability disclosed by Varonis Threat Labs in Google Cloud's Dialo. Article summary: **Answer:** The "Rogue Agent" vulnerability was a critical privilege-escalation chain in Google Cloud's Dialogflow CX that let an attacker with edit rights on one agent inject malicious Python code into shared Playbook C. Topic tags: general, government, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text,
Google Cloud 嘅王牌 AI 對話平台 Dialogflow CX 最近爆出一個被名為「Rogue Agent(叛變 Agent)」嘅嚴重漏洞鏈。呢個漏洞容許只要有一個聊天機器人嘅編輯權限嘅攻擊者,就好安靜咁騎劫埋同一個雲端項目入面所有其他 AI Agent,偷聽對話、竊取機密,甚至扮成官方客服呃客戶資料。
網絡安全公司 Varonis Threat Labs 喺 2025 年底發現咗呢個漏洞,並同 Google 合作修復。以下係成件事嘅來龍去脈、漏洞點運作,以及對多 Agent AI 系統安全嘅啟示。
Dialogflow CX 係 Google Cloud 嘅旗艦 AI 對話平台,企業成日用嚟整客服聊天機器人、財務助手同醫療諮詢助手。 平台有個叫 Playbooks 嘅功能,開發者可以喺入面加啲 Code Blocks——即係行喺 Agent 流程入面嘅 Python 碼。
Varonis 發現呢啲 Code Blocks 嘅執行環境同埋 Playbooks 嘅匯入功能,佢哋嘅安全機制做得唔夠好。 攻擊鏈係咁行嘅:
dialogflow.playbooks.update」呢一個編輯權限,操控到一部有用 Code Blocks 嘅 Agent。呢個漏洞官方記錄為 CVE-2026-4764,核心問題係 Playbook 匯入功能冇做足授權檢查。 呢個漏洞嘅 CVSS 評分高達 9.4,係極度嚴重嘅安全漏洞。
一旦惡意碼成功喺受害者嘅 Agent 入面行,攻擊者就可以做以下幾件事:
Google 向客戶確認,成個修復過程唔需要客戶做任何操作。
Varonis 仲指出,就算修復咗 Playbook 匯入嘅權限問題,Agent 之間共享 Code Block 執行環境呢個根本架構設計本身都存在問題。只要任何一個 Agent 被攻陷,攻擊者仍然可以跨越執行惡意碼。呢個係設計層面嘅問題,所以要等到 2026 年 6 月嘅第二個修補先至完全搞掂。
另外,Google 仲喺 Agent 設定入面加咗一個 prompt security check 嘅提示安全檢查功能,幫手偵測同阻擋 prompt injection 攻擊,防止將來有人用類似手法搞事。
好彩,到目前為止冇任何證據顯示呢個漏洞喺修復之前俾黑客實際用過。 Google Cloud 嘅發言人話:「我哋冇任何已知嘅客戶受影響證據,客戶無需採取任何行動。」
「Rogue Agent」呢個漏洞好清楚咁話俾我哋知,好多 AI Agent 平台背後嘅安全模型仲未追得上佢哋系統嘅複雜程度(特別係要多人共用同埋可以執行自訂碼嘅環境)。隨住越嚟越多企業使用可以落自訂碼嘅對話式 AI Agent,呢啲共享執行環境會成為一個好關鍵嘅攻擊面。
用緊 Dialogflow CX 嘅機構,最好檢查清楚有冇開咗 prompt security check 功能 ,同埋睇清楚邊啲身份有「dialogflow.playbooks.update」呢個權限——呢個就係成個攻擊鏈嘅起點。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Google Cloud Dialogflow CX 爆出「Rogue Agent」漏洞鏈,攻擊者有咗一個 Agent 嘅 Playbook 編輯權限(dialogflow.playbooks.update),就可以向共享嘅 Code Blocks 執行環境注入惡意 Python 碼。
Google Cloud Dialogflow CX 爆出「Rogue Agent」漏洞鏈,攻擊者有咗一個 Agent 嘅 Playbook 編輯權限(dialogflow.playbooks.update),就可以向共享嘅 Code Blocks 執行環境注入惡意 Python 碼。 利用呢個漏洞,攻擊者可以騎劫同一個 GCP 項目入面所有用到 Code Blocks 嘅 AI Agent:偷聽對話、冒充 Bot 向客戶釣魚,全面控制成個項目。
漏洞由 Varonis Threat Labs 喺 2025 年 11 月發現,Google 喺 2026 年 3 月 15 日出手機修(CVE 2026 4764),但最初嘅修復唔完全,要到 2026 年 6 月先完全解決問題。