- Varonisは、Google Cloud Dialogflow CXにCVEレベルの欠陥を発見。Playbooks内の悪意あるCode Blocksを悪用すれば、エージェントの乗っ取りやチャットログの窃取、認証情報の盗難が可能だった
- 過剰な権限を持つCloud Run共有環境が原因で、1つのエージェントが侵害されるとプロジェクト内の他のすべてのエージェントを制御できてしまう状態にあり、Cloud Loggingでは事実上検知不可能だった
- Googleは2026年4月から6月にかけてこの問題を修正。研究者は監査ログの確認、異常なエラーのチェック、Code Blocksの手動点検を推奨している
研究者らは最近、Google CloudのDialogflow CXに重大な脆弱性を発見しました。この脆弱性を悪用すれば、脅威アクターがさまざまなAIエージェントを乗っ取り、チャットログにアクセスするだけでなく、ログイン認証情報のような機密データまで窃取できてしまう可能性があるといいます。
Dialogflow CXは、多数の音声・テキストチャットボットの構築に使われているGoogle Cloudの対話型AIプラットフォームです。このプラットフォームでは、開発者がカスタムPythonスニペットである「Code Blocks」を、会話「Playbooks」内に追加できます。これらのブロックはすべて、Googleが管理する単一のCloud Runサービス内で実行され、そのサービスはGoogle Cloud Platformプロジェクト内の全エージェントで共有されています。
セキュリティ研究者集団Varonisは明らかにしました。それによると、想定される攻撃者は広範な管理者権限を必要としません。単一のチャットボットの設定を編集する権限さえあれば、比較的容易に悪意あるコードを仕込めてしまうという、重大な脆弱性が見つかったといいます。Varonisはさらに、このCloud Run環境にはコードの実行制限が一切なく、書き込み可能なファイルシステム、パブリックインターネットへの発信経路を持ち、過剰な権限のもとで稼働していたと説明しています。重要なファイルが完全に上書きされる可能性もあったとしています。
Googleが修正パッチを提供
この結果、攻撃者は会話履歴全体とセッション状態にアクセスできる状態でした。内部関数を呼び出したり、LLMが生成したかのような偽の応答を作り出したりできるため、フィッシングや認証情報の窃取につながりかねないと研究者らは指摘しています。
この環境はプロジェクトごとに共有されているため、1つのエージェントが侵害されれば、そのプロジェクト内の他のすべてのエージェントを乗っ取ることが可能でした。しかもCloud Loggingはファイルの上書きや注入されたロジックを記録しないため、こうした攻撃は「事実上検知不可能」だったといいます。
Varonisは2025年11月にこの問題をGoogleに報告し、Google側は2026年4月に暫定的な修正を行いました。しかし、問題が完全に解決されたのは2026年6月になってからでした。
報告書の中で研究者らは、実際の悪用が確認された証拠は現時点でないとしながらも、顧客に対してPlaybooks.UpdatePlaybook呼び出しに関するDATA_WRITE監査ログの確認、Sessions.DetectIntentの異常なエラーのチェック、そして各エージェントのCode Blocksを手動で点検し、不正なコードが残っていないか確認するよう推奨しています。