Google'ın Dialogflow CX platformunda keşfedilen kritik bir güvenlik açığı, saldırganların aynı Google Cloud projesindeki birden fazla sohbet robotunu ele geçirmesine izin veriyordu. 'Rogue Agent' adı verilen bu açık, yalnızca Dialogflow'un Playbook ve özel Code Blocks özelliklerini kullanan kuruluşları etkiliyordu. Güvenlik firması Varonis tarafından keşfedilen açık, saldırganların canlı konuşmaları okumasına, kullanıcı verilerini çalmasına ve botlar aracılığıyla kullanıcılara sahte mesajlar göndermesine olanak tanıyordu.
Açığın istismar edilmesi için, bir aracı üzerinde dialogflow.playbooks.update iznine sahip olmak gerekiyordu. Bu da saldırganın ya kötü niyetli bir içeriden kişi ya da ele geçirilmiş bir geliştirici hesabı olması gerektiği anlamına geliyordu. Ancak bu tek erişim noktasından, saldırgan projedeki tüm aracılara erişebiliyordu. Google, açığı düzeltti ve hem Varonis hem de Google, açığın gerçek bir saldırıda kullanıldığına dair herhangi bir işaret olmadığını belirtti.
Açığın temelinde, Code Blocks özelliğinin çalıştırıldığı paylaşımlı Cloud Run ortamındaki yetersiz izolasyon yatıyordu. Varonis araştırmacıları, kod sarımını yapan code_execution_env.py dosyasının yazılabilir olduğunu keşfetti. Bir Code Block, bu dosyayı değiştirerek tüm aracılar için çalışan kodu ele geçirebiliyordu. Ayrıca, ortamın sınırsız internet erişimi ve Instance Metadata Service'e (IMDS) erişim gibi ek güvenlik zafiyetleri de bulunuyordu.
Kuruluşların bu açıktan etkilenip etkilenmediklerini kontrol etmek için dialogflow.playbooks.update iznine sahip hesapları denetlemeleri, DATA_WRITE denetim günlüklerini incelemeleri ve Cloud Logging'de hatalı kullanıcı isteklerini sorgulamaları öneriliyor. Ayrıca, Dialogflow konsolunda her bir aracının Playbook'larını açarak tüm Code Block'ların onaylanmış olduğundan emin olunmalıdır. Bu açık, yapay zeka güvenliğinde yeni bir boyutu temsil ediyor: Modeli kandırmak yerine, geliştirici özelliklerini ve paylaşımlı çalışma zamanını kötüye kullanıyor.