Varonis legte die Details der Lücke in dieser Woche offen. Nach Angaben des Unternehmens meldete es das Problem im November 2025 an Google. Google veröffentlichte im April zunächst einen Patch und löste das Problem im vergangenen Monat vollständig. Laut Google wurden alle betroffenen Komponenten korrigiert.
Ein Sprecher von Google Cloud erklärte gegenüber Dark Reading, das Unternehmen schätze die Arbeit von Forschern wie dem Team von Varonis, die Schwachstellen über Googles Vulnerability Reward Program melden. „Die zugrunde liegende Ursache wurde vollständig entschärft, und uns liegen keine bekannten Hinweise auf kompromittierte Kunden vor“, sagte der Sprecher.
Dialogflow CX dient zum Aufbau von KI-Agenten und Bots für Unternehmen, etwa für Kundensupport, Finanzdienstleistungen oder Chatbots im Gesundheitswesen. Die Plattform erlaubt Entwicklern, mit „Code Blocks“ benutzerdefinierten Python-Code einzubinden, der Eingaben verarbeitet, Daten verändert und Programmierschnittstellen aufruft.
Diese Code-Blöcke laufen laut Google in der Cloud-Run-Umgebung des Unternehmens für containerisierte Anwendungen. Der Sprecher sagte, dass sie standardmäßig öffentliche ausgehende Netzwerkverbindungen nutzen können. Das bedeute, dass sie Verbindungen ins Internet aufbauen und damit Datenperimeter überschreiten sowie Zero-Trust-Architekturen durchbrechen könnten.
Hinzu kommt eine Designentscheidung bei Dialogflow CX: Alle Dialogflow-Agenten eines einzelnen GCP-Projekts, die Code Blocks verwenden, teilen sich standardmäßig dieselbe Cloud-Run-Ausführung. Da diese Umgebung von Google verwaltet wird, haben Kunden keine direkte Sicht auf die Ausführungsumgebung. Erfolgreiche Angriffe wären deshalb schwer zu erkennen, weil wesentliche Teile außerhalb des direkten Einblicks der Nutzer ablaufen.
Ein weiterer zentraler Baustein sind die „Playbooks“ in Dialogflow CX, mit denen Kunden Agenten auf Basis natürlicher Sprache und generativer KI erstellen. Hätte ein Angreifer die Möglichkeit erhalten, den Playbooks-Code-Block eines einzelnen Agenten in einer Kundenumgebung zu aktualisieren, hätte er nach Darstellung von Varonis per Code Block eine interne Ausführungsdatei herunterladen und mit einer manipulierten Version überschreiben können. Diese würde dann Teil der Verarbeitungspipeline künftiger Gespräche.
Damit hätte ein Angreifer nicht nur auf Gesprächsverläufe und Sitzungsdaten zugreifen können. Varonis zufolge wäre es auch möglich gewesen, innerhalb einer Unterhaltung unauffällig eine gefälschte Aufforderung zur erneuten Anmeldung einzubauen, um Opfer zur Preisgabe echter Zugangsdaten zu bewegen.
Für die Ausnutzung war zwar ein Zugang erforderlich, etwa über ein kompromittiertes Konto eines privilegierten Mitarbeiters. Die dafür nötige Berechtigung „dialogflow.playbooks.update“ konnte jedoch auf Projektebene vergeben werden. Der mögliche Angriff wäre damit nicht auf Administratoren mit höchster Berechtigungsstufe beschränkt gewesen.
Auch wenn Organisationen nach derzeitigem Kenntnisstand nicht mehr gefährdet sind, empfiehlt Varonis eine nachträgliche Prüfung: Unternehmen sollten Protokolle zu Playbook-Updates kontrollieren, Abfragen nach fehlgeschlagenen Nutzeranfragen ausführen und Code Blocks manuell auf nicht autorisierten Code untersuchen.
Tamir Yehuda, Leiter des Cloud-Sicherheitsforschungsteams bei Varonis, sagte gegenüber Dark Reading, Sicherheitsteams sollten beim Schutz von KI nicht die zugrunde liegende Infrastruktur übersehen. KI-Dienste seien eng mit Cloud-Diensten verflochten, und die Risiken würden oft übersehen. Teams aus Sicherheit und IT müssten die Architektur der KI-Dienste von Cloud-Anbietern bewerten; dabei ließen sich mitunter Schwachstellen finden. Zudem gebe es häufig Fehlkonfigurationen, die ähnlich riskant seien, etwa alternative Zugriffe auf KI-Chatbots oder Daten über andere Cloud-Dienste.
