Varonis descubrió vulnerabilidades críticas en Dialogflow CX de Google Cloud que permitieron que bloques de código maliciosos en Playbooks secuestraran agentes, filtraran registros de chat y robaran credenciales. El entorno compartido de Cloud Run presentaba privilegios excesivos, lo que permitía a un agente comprometido controlar a todos los demás dentro de un proyecto, y los ataques permanecían prácticamente indetectables en Cloud Logging.
Google parchó estas vulnerabilidades entre abril y junio de 2026. Los investigadores recomendaron revisar los registros de auditoría, buscar errores anómalos e inspeccionar manualmente los bloques de código en busca de código no autorizado.
La vulnerabilidad permitió a los actores de amenazas acceder a diferentes agentes de IA, al historial de conversaciones completo y a datos confidenciales, como las credenciales de inicio de sesión. Dialogflow CX es una plataforma de inteligencia artificial que permite a los desarrolladores crear chatbots de voz y texto, lo que permite la inclusión de fragmentos de Python personalizados, conocidos como bloques de código, dentro de los Playbooks de conversación, todos ejecutándose en un servicio compartido de Cloud Run.
Varonis afirmó que el atacante no necesitaba un amplio acceso de administrador; el permiso para editar la configuración de un solo chatbot fue suficiente para plantar código malicioso. El entorno de Cloud Run carecía de restricciones de código, presentaba un sistema de archivos grabable e incluía salida pública a Internet, lo que podía provocar la sobrescritura completa de archivos clave.
Una vez comprometido, un agente podría hacerse cargo de todos los demás en el proyecto. La limitación de Cloud Logging significaba que las sobrescrituras de archivos o la lógica inyectada pasarían desapercibidas. Varonis informó las vulnerabilidades a Google en noviembre de 2025. Se publicó una solución inicial en abril de 2026, y se alcanzó la resolución completa en junio de 2026.
No hay evidencia de ningún intento de explotación en la naturaleza. Los investigadores recomendaron a los usuarios revisar los registros de auditoría DATA_WRITE para las llamadas Playbooks.UpdatePlaybook y verificar si hay errores anómalos de Sessions.DetectIntent.





