Google'ın yapay zeka destekli sohbet botu platformu Dialogflow CX'te kritik bir güvenlik açığı keşfedildi. Güvenlik firması Varonis tarafından bulunan ve 'Rogue Agent' (Kötü Niyetli Ajan) adı verilen bu açık, aynı Google Cloud projesi içinde Code Block özelliği kullanan bir ajan üzerinde düzenleme yetkisine sahip bir saldırganın, diğer tüm Code Block özellikli ajanları ele geçirmesine izin verebiliyordu. Bu sayede saldırgan, canlı sohbetleri okuyabilir, kullanıcıların paylaştığı verileri çalabilir ve botlar aracılığıyla kullanıcılara saldırgan tarafından yazılmış mesajlar (örneğin şifre yeniden giriş talepleri) gönderebilirdi.
Açığın tetiklenmesi için dialogflow.playbooks.update iznine sahip olmak gerekiyordu ve bu da saldırganın kötü niyetli bir içeriden biri veya ele geçirilmiş bir geliştirici hesabı olmasını zorunlu kılıyordu. Açık, uzaktan ve kimlik doğrulaması gerektirmeyen bir saldırı değildi. Ancak bir kez bu yetki ele geçirildiğinde, aynı Google Cloud projesindeki tüm ajanlara erişim sağlanabiliyordu. Varonis, sorunu Google'ın Güvenlik Açığı Ödül Programı aracılığıyla bildirdi ve Google, Nisan 2026'da ilk düzeltmeyi, Haziran 2026'da ise tam çözümü yayınladı. Her iki kuruluş da açığın gerçek bir saldırıda kullanıldığına dair herhangi bir işaret bulunmadığını belirtti.
Açığın temelinde, Dialogflow'un Code Block özelliğinin çalıştığı ortamın yetersiz izolasyonu yatıyordu. Tüm Code Block'lar aynı Google Cloud Run ortamını paylaşıyordu ve Varonis, bu ortamda ajanlar arasında gerçek bir izolasyon bulunmadığını tespit etti. Araştırmacılar, kodun sarmalanmasından sorumlu code_execution_env.py dosyasının yazılabilir olduğunu keşfetti. Bir Code Block, bu dosyayı değiştirerek saldırganın kontrolündeki bir sunucudan indirdiği kötü niyetli bir versiyonla değiştirebiliyordu. Bu değişiklikten sonra, aynı ortamı paylaşan tüm ajanların Code Block'ları saldırganın versiyonunu çalıştırmaya başlıyor ve böylece tüm sohbetler okunabiliyor, veriler çalınabiliyor ve sahte mesajlar gönderilebiliyordu.
Önemli Gelişmeler
Varonis ayrıca, Code Block ortamının sınırsız giden internet erişimine sahip olduğunu ve Instance Metadata Service (IMDS) 'e erişebildiğini tespit etti. Bu sayede araştırmacılar, yerleşik urllib kütüphanesini kullanarak verileri doğrudan harici bir sunucuya gönderebildi ve komut alabildi. Bu durum, Google Cloud'un VPC Service Controls gibi çevre güvenlik önlemlerini baypas ediyordu. Google, bu sorunları da düzeltti. Kullanıcıların, açıktan etkilenip etkilenmediklerini kontrol etmek için dialogflow.playbooks.update iznini denetlemeleri, DATA_WRITE denetim günlüklerini incelemeleri ve her bir ajanın Code Block'larını doğrulamaları öneriliyor. Bu açık, diğer yapay zeka güvenlik açıklarının aksine modeli kandırmaya değil, geliştirici özelliklerinin ve paylaşılan çalışma zamanının kötüye kullanılmasına dayanıyordu.