Dialogflow CX ist eine Plattform für dialogbasierte KI im Unternehmenseinsatz. Organisationen bauen damit virtuelle Agenten und Chatbots etwa für den Kundensupport, Finanzdienstleistungen, Unterstützung im Gesundheitsbereich und andere Arbeitsabläufe mit sensiblen Daten. Für diese Gesprächslogik setzt der Dienst auf Playbooks mit Code Blocks, die benutzerdefinierte Python-Funktionen einbinden, um Eingaben zu verarbeiten, Programmierschnittstellen aufzurufen und Daten zu verändern.
Wie Varonis berichtet, werden diese Code Blocks in einer von Google kontrollierten Cloud-Run-Umgebung ausgeführt. Cloud-Run-Instanzen können ausgehende Verbindungen ins Internet aufbauen und über Datenperimeter hinweg kommunizieren. Der entscheidende Konstruktionspunkt sei gewesen, dass alle Dialogflow-Agenten mit Code Blocks innerhalb desselben GCP-Projekts praktisch dieselbe Cloud-Run-Ausführungsumgebung teilen.
Varonis zufolge ließ sich in einer Cloud-Run-Instanz mit öffentlichem Zugriff, beschreibbarem Dateisystem und einem Benutzerkonto, das Systemdateien verändern darf, eine zentrale Datei manipulieren, sofern die Berechtigung zur Konfiguration von Code Blocks aktiviert war. Diese Schlüsseldatei ist für die Ausführung der Code Blocks über Pythons exec()-Funktion verantwortlich. Da es keine Beschränkungen für die Ausführung beliebigen Python-Codes gegeben habe, konnte die Datei überschrieben und mit schädlicher Logik versehen werden.
Nach Darstellung von Varonis hätte ein so eingeschleuster Code direkten Zugriff auf Variablen laufender Sitzungen gehabt, weil der injizierte Code Block im selben Geltungsbereich innerhalb von exec() ausgeführt wurde. Dadurch sei vollständige Einsicht in laufende Gespräche möglich gewesen, ebenso das Kapern von Sitzungen oder das Nachahmen legitimer Abläufe. Außerdem hätten Angreifer interne Funktionen aufrufen können, um den Agenten gezielt bestimmte Zeichenfolgen zurückgeben zu lassen. Das hätte eine Manipulation von Unterhaltungen ermöglicht, die laut Varonis auch für Phishing- und Social-Engineering-Angriffe nutzbar gewesen wäre.
Durch Änderungen an der Schlüsseldatei hätten Angreifer Nutzergespräche exfiltrieren, Phishing-Aufforderungen als scheinbar legitime Reauthentifizierungsanfragen einschleusen und eine dauerhafte Logik hinterlegen können, die die Datei für jeden Benutzer verändert. Laut Varonis tauchte diese Manipulation nicht in den Protokollen auf und wäre damit vollständig unsichtbar geblieben. Das Ergebnis wäre die stille Übernahme jedes Agenten im selben GCP-Projekt gewesen, verbunden mit Gesprächsmanipulation und dem Abzug sensibler Daten.
Das Sicherheitsunternehmen stellte außerdem fest, dass sich ein bidirektionaler Kommunikationskanal zu einem externen Server aufbauen ließ, der VPC Service Controls umgehen konnte, die zur Durchsetzung von Datenperimetern dienen. Zusätzlich habe sich der Instance Metadata Service innerhalb der Cloud-Run-Umgebung angreifen lassen, um Zugriffstoken für ein von Google verwaltetes Dienstkonto abzurufen.
Varonis meldete die Schwachstelle im November 2025 an Google Cloud. Ein erster Patch wurde im April bereitgestellt, die vollständige Behebung im Juni. Varonis gab der Schwachstelle den Namen „Rogue Agent“.
