К содержанию
Новости

Уязвимость в Google Dialogflow CX позволяла перехватывать другие чат-боты внутри проекта

Уязвимость в Google Dialogflow CX позволяла перехватывать другие чат-боты внутри проекта
Фото: SecurityLab (by Positive Technologies)

Уязвимость Rogue Agent в Google Dialogflow CX позволяла атакующему, получившему доступ к одному агенту, взять под контроль и другие агенты с блоками кода в том же проекте Google Cloud. Проблема касалась организаций, которые использовали Playbooks и собственный код на Python. Для эксплуатации требовалось разрешение dialogflow.playbooks.update, поэтому провести удалённую атаку без учётной записи было нельзя.

Как сообщает SecurityLab (by Positive Technologies), все агенты с блоками кода внутри одного проекта работали через общую среду Cloud Run. Исследователи выяснили, что файл code_execution_env.py был доступен для записи и отвечал за подготовку и запуск кода агентов. Если злоумышленник изменял этот файл через вредоносный блок, подменённый код начинал выполняться во всех связанных чат-ботах. Это давало доступ к истории диалогов, данным сеансов и механизму формирования ответов.

В демонстрации атаки злоумышленник мог скрытно пересылать переписку пользователей на внешний сервер и менять сообщения бота, в том числе запрашивать повторный ввод пароля. Даже если исходный блок возвращали через консоль, атака не прекращалась: изменённый файл продолжал работать внутри контейнера. По данным Varonis, внедрённый код почти не оставлял следов в журналах клиента, из-за чего обнаружить вмешательство было сложно.

Исследователи сообщили Google о проблеме в ноябре 2025 года. Первое исправление компания выпустила в апреле 2026 года, полностью уязвимость закрыли в июне. Признаков использования атаки в реальных инцидентах не нашли, CVE для уязвимости не присвоили. Организациям, которые использовали Code Blocks до выхода исправления, рекомендовали проверить пользователей с правом dialogflow.playbooks.update и вручную просмотреть блоки кода в Dialogflow CX.

Ключевые факты

  • Для эксплуатации требовалось право dialogflow.playbooks.update

  • Уязвимость затрагивала агентов, созданных через Playbooks с собственным кодом на Python

  • Исследователи обнаружили доступный для записи файл code_execution_env.py в общей среде Cloud Run

  • Google получила уведомление о проблеме в ноябре 2025 года и полностью закрыла её в июне 2026 года