Google Dialogflow CX'te Kritik Güvenlik Açığı: Rogue Agent ile Sohbet Botları Ele Geçirilebiliyordu Yazılım

Google Dialogflow CX'te Kritik Güvenlik Açığı: Rogue Agent ile Sohbet Botları Ele Geçirilebiliyordu

Google'ın Dialogflow CX hizmetinde keşfedilen Rogue Agent açığı, yetkili bir saldırganın botları ele geçirip kullanıcı verilerini çalmasına olanak tan

Google'ın yapay zeka destekli sohbet botu platformu Dialogflow CX'te kritik bir güvenlik açığı keşfedildi. Güvenlik firması Varonis tarafından bulunan ve 'Rogue Agent' (Kötü Amaçlı Ajan) adı verilen bu açık, bir Google Cloud projesinde Code Block özelliğini kullanan botlara düzenleme yetkisine sahip bir saldırganın, aynı projedeki diğer botları da ele geçirmesine izin veriyordu. Saldırgan, bu şekilde canlı sohbetleri okuyabiliyor, kullanıcıların paylaştığı verileri çalabiliyor ve botlar üzerinden kullanıcılara sahte mesajlar gönderebiliyordu.

Bu açıktan yararlanmak için saldırganın, Dialogflow'un Playbook'lar ve özel Python kodu eklemeye izin veren Code Block'larını kullanan bir bot üzerinde 'dialogflow.playbooks.update' iznine sahip olması gerekiyordu. Bu durum, saldırganın büyük olasılıkla kötü niyetli bir içeriden biri veya ele geçirilmiş bir geliştirici hesabı olduğunu gösteriyor. Ancak bu tek yetki, saldırganın projedeki tüm botlara erişmesine yetiyordu. Açığın temelinde, aynı Google Cloud projesindeki Code Block kullanan tüm botların ortak bir Cloud Run ortamını paylaşması ve bu ortamda botlar arasında yeterli izolasyonun olmaması yatıyordu.

Varonis araştırmacıları, Code Block kodlarının çalıştırıldığı ortamda bulunan 'code_execution_env.py' dosyasının yazılabilir olduğunu keşfetti. Bir saldırgan, kendi yazdığı bir Code Block ile bu dosyayı değiştirerek, tüm botların çalıştırdığı kodları ele geçirebiliyordu. Bu sayede saldırgan, her botun konuşma geçmişine ve durum bilgilerine erişebiliyor, botun kullanıcılara gönderdiği mesajları kontrol edebiliyor ve hatta kullanıcılardan şifrelerini yeniden girmelerini isteyen oltalama saldırıları düzenleyebiliyordu. Ayrıca, Code Block ortamının sınırsız internet erişimi ve Instance Metadata Service'e (IMDS) erişimi gibi ek güvenlik zafiyetleri de tespit edildi.

Google, Kasım 2025'te bildirilen açığı Nisan 2026'da ilk düzeltmeyle ve Haziran 2026'da tamamen kapatarak yaklaşık yedi ayda çözdü. Hem Varonis hem de Google, açığın gerçek bir saldırıda kullanıldığına dair herhangi bir kanıt bulunmadığını belirtti. Dialogflow CX kullanıcıları, 'dialogflow.playbooks.update' iznine sahip hesapları denetlemeli, veri yazma denetim günlüklerini incelemeli ve Code Block'larını gözden geçirerek olası bir sızma olup olmadığını kontrol etmelidir.

Paylaş: