Google Cloud PlatformのDialogflow CXに存在した重大な欠陥により、攻撃者が顧客との会話を乗っ取り、検知されないままフィッシングキャンペーンを実行できることが判明しました。
Varonis Threat Labsがこの脆弱性を公表しました。「Rogue Agent」と名付けられたこの脆弱性は、Dialogflowの「Code Blocks」機能を悪用し、企業向けチャットボットや音声アシスタントを支える対話型AIサービスのエージェント実行パイプラインに永続的な悪意あるコードを注入するというものです。
Dialogflow CXのPlaybooksでは、開発者がCode Blocksを通じてカスタムのPythonロジックを組み込み、入力の処理やAPI呼び出し、会話データの操作を行えます。
これらのブロックは、プロジェクト内のすべてのエージェントで共有されるGoogle管理のCloud Runサービス上で実行されます。この設計は運用をシンプルにする一方で、顧客側は実行環境を可視化できなくなるという欠点があります。
Varonisの研究者らは、この共有環境が外部へのネットワーク通信を許し、書き込み可能なファイルシステムと高い実行権限を備えていることを突き止めました。
単一エージェント単位でも付与できるdialogflow.playbooks.update権限さえあれば、攻撃者はPlaybookコードの実行にPythonのexec()関数を使用する中核ファイルcode_execution_env.pyを上書きできてしまいます。
注入されたコードは、会話ログ全体を保持するhistoryやセッションデータを保持するstateといった内部変数とスコープを共有するため、攻撃者は進行中の会話に直接アクセスできるうえ、respond()のような内部関数を呼び出して正規のエージェント応答になりすますことも可能でした。
この攻撃の手口は、まず攻撃者が悪意あるバージョンのcode_execution_env.pyを公開GCSバケットにアップロードし、次にCode Blockを設定してCloud Runコンテナ内の元のファイルをダウンロード・上書きさせるというものです。
この悪意あるロジックは、その後のすべてのユーザーとのやり取りで持続し、さらに攻撃者は元のCode Block設定を復元することで、Dialogflowコンソール上では何も変更されていないように見せかけることができました。
特に重大な点として、Cloud Loggingにはこの上書きや注入されたロジックが一切記録されず、防御側にとって侵害はほぼ検知不可能な状態でした。
Varonisは2025年11月にRogue AgentをGoogleへ報告しました。Googleは2026年4月に初期の修正を提供し、2026年6月までに問題を完全に解決しています。
パッチ適用前に実際に悪用された形跡は確認されていません。今回の件は、Reprompt(Microsoft Copilot Personal)やSearchLeak(Copilot Enterprise)に続く、VaronisによるAIエージェント関連の一連の脆弱性開示の最新事例となります。
Dialogflow CXを利用している組織は、DATA_WRITE監査ログを有効化し、過去のPlaybook更新イベントを見直して不審な活動がないか確認することが推奨されます。あわせて、変更内容と異常なIPアドレス、通常とは異なるアクセス時間帯、まれなユーザー活動との相関を調べる必要があります。
セキュリティチームはまた、Code Blockの例外に関連する失敗リクエストをCloud Loggingで照会し、各エージェントのPlaybook設定を手動で確認して、承認済みでホワイトリストに登録されたCode Blockのみが存在することを確かめるべきです。
Rogue Agentは、より大きな教訓を浮き彫りにしています。AIエージェントが企業インフラに組み込まれるにつれ、見落とされたたった一つの権限設定が共有サービス群全体を危険にさらしかねません。もはや境界防御だけでは不十分であり、多層的な防御策が求められています。
翻訳元: https://cyberpress.org/rogue-agent-attack-abuses-dialogflow/