Google Dialogflow CX'te Kritik Açık: 'Rogue Agent' Saldırganlara Sohbet Botlarını Ele Geçirme İmkanı Verdi Yazılım

Google Dialogflow CX'te Kritik Açık: 'Rogue Agent' Saldırganlara Sohbet Botlarını Ele Geçirme İmkanı Verdi

Google'ın Dialogflow CX'inde bulunan Rogue Agent açığı, editör yetkisine sahip bir saldırganın proje içindeki tüm kod bloklu botları ele geçirmesine i

Google'ın yapay zeka destekli sohbet botu platformu Dialogflow CX'te kritik bir güvenlik açığı tespit edildi. Güvenlik firması Varonis tarafından keşfedilen ve 'Rogue Agent' adı verilen bu açık, bir saldırganın tek bir bot üzerinde editör yetkisiyle, aynı Google Cloud projesindeki diğer tüm kod bloklu botları ele geçirmesine olanak tanıyordu. Bu sayede saldırgan, canlı konuşmaları okuyabiliyor, kullanıcıların paylaştığı verileri çalabiliyor ve botlar aracılığıyla kullanıcılara şifrelerini yeniden girmeleri gibi sahte mesajlar gönderebiliyordu.

Açık, yalnızca Dialogflow'un Playbook'ları ve özel kod blokları (Code Blocks) kullanılarak geliştirilen botları etkiliyordu. Bu kod blokları, geliştiricilerin Python kodu eklemesine izin veriyor. Saldırının gerçekleşmesi için saldırganın bir bot üzerinde 'dialogflow.playbooks.update' iznine sahip olması gerekiyordu. Bu da açığı, kötü niyetli bir içeriden kişi veya ele geçirilmiş bir geliştirici hesabıyla sınırlandırıyor. Ancak bu tek noktadan erişimle, saldırgan projedeki tüm botlara ulaşabiliyordu.

Varonis araştırmacıları, Google'ın Cloud Run ortamında çalışan kod bloklarının paylaşılan bir dosya olan 'code_execution_env.py'yi yazma izniyle kullandığını keşfetti. Bu dosyayı değiştiren bir kod bloğu, saldırganın kontrolündeki bir sunucudan değiştirilmiş bir sürüm indirebiliyor ve orijinal dosyanın üzerine yazabiliyordu. Bu sayede, tüm botlar için çalışan kod, saldırganın kontrolüne geçiyordu. Saldırgan, botların yanıtlarını değiştirebiliyor, kullanıcı verilerini kendi sunucusuna gönderebiliyor ve hatta kimlik avı saldırıları düzenleyebiliyordu.

Uzmanların Görüşleri

Google, Varonis'in bildirimi üzerine açığı kapatarak Nisan 2026'da ilk düzeltmeyi, Haziran 2026'da ise tam çözümü yayınladı. Açığın daha önce herhangi bir saldırıda kullanıldığına dair bir kanıt bulunmuyor. Varonis, kod bloklarını kullanan kuruluşların, yetkilendirme günlüklerini ve Dialogflow API veri yazma günlüklerini incelemelerini, ayrıca tüm kod bloklarını gözden geçirmelerini öneriyor. Bu olay, yapay zeka güvenliğinde yeni bir tür açığı temsil ediyor; modeli kandırmak yerine, geliştirici özelliklerinin ve paylaşılan çalışma zamanlarının istismar edilmesine dayanıyor.

Paylaş: