Google Cloud Dialogflow CX平台近日被曝存在一个名为Rogue Agent的权限边界漏洞。该漏洞允许攻击者利用dialogflow.playbooks.update单一权限,在平台上注入恶意代码,从而实现对用户对话记录的窃取。一旦攻击者获得这一基础权限,便可在不被察觉的情况下修改对话流的执行逻辑,将原本的客服回复重定向到外部恶意端点。

更为严重的是,攻击者可以利用Code Blocks的公网出口权限,在同一GCP项目内实现跨代理的横向移动。这种攻击方式极为隐蔽,因为它复用了平台自身的合法代码执行通道,传统基于网络流量或异常进程的安全监控工具很难将其与正常对话流区分开来。安全研究人员指出,攻击者甚至可以在多个企业客户共享同一GCP项目时,跨组织边界传播恶意代理。

Varonis安全研究团队于2025年11月首次报告了这一漏洞。经过近五个月的详细调查与修复协调,Google于2026年4月正式发布安全补丁,成功修复了该漏洞。补丁核心是为playbooks.update权限引入了更严格的执行沙箱,并增加了Code Blocks的出站网络白名单机制,所有出站请求必须经过项目管理员预先审批。

业内安全专家认为,Rogue Agent漏洞再次暴露了云原生AI平台在权限模型设计上的根本挑战:随着对话式AI平台被赋予越来越多的自动化能力,其代码执行权限与传统Web服务相比更高,一旦权限边界出现细微漏洞,攻击者就能借助AI的自主决策能力在极短时间内完成复杂的横向移动。Varonis建议企业用户立即核查自身GCP项目中是否仍有未更新的Dialogflow CX代理实例,并审查近三个月的代理执行日志,排查是否存在异常的Code Blocks外联请求。
此次事件再次提醒用户,在使用云服务平台时,需时刻保持安全意识,及时更新系统和应用,以防范潜在的安全威胁。组织还应建立AI代理的最小权限原则,为每一个对话机器人单独配置服务账号,避免多个代理共享过宽的GCP项目级权限,同时启用Cloud Audit Logs对所有playbooks.update操作进行全量审计。
OpenClaw—AI研究