Google Cloud'un Dialogflow CX platformunda, tehdit aktörlerinin AI ajanlarını ele geçirmesine, sohbet kayıtlarına erişmesine ve kimlik bilgilerini çalmasına olanak tanıyan kritik güvenlik açıkları tespit edildi. Güvenlik araştırmacıları Varonis tarafından keşfedilen bu açıklar, chatbot oluşturmak için kullanılan Dialogflow CX'i hedef alıyor.

Açık, temel izinlere sahip saldırganların konuşma playbook'ları içindeki özel Python snippet'lerine (Code Blocks olarak adlandırılan) kötü amaçlı kod enjekte etmesine izin veriyor. Bu kod blokları, aşırı ayrıcalıklara ve yazılabilir bir dosya sistemine sahip paylaşımlı bir Cloud Run ortamında çalışıyor. Bu sayede saldırganlar, anahtar dosyaların üzerine yazabiliyor, sohbet kayıtlarını dışarı sızdırabiliyor ve kimlik bilgilerini çalabiliyor.

Cloud Run ortamı bir projedeki tüm ajanlar arasında paylaşıldığından, tek bir ajanın ele geçirilmesi diğer tüm ajanların kontrolünü ele geçirmeye yetiyor. Ayrıca saldırı, Cloud Logging aracılığıyla neredeyse tespit edilemez durumda.

Google, bu güvenlik açığını Nisan-Haziran 2026 arasında yamaladı. Araştırmacılar, kullanıcıların şüpheli etkinlikler için denetim günlüklerini incelemelerini ve Code Blocks'ları yetkisiz kod açısından manuel olarak denetlemelerini öneriyor.

Neden önemli

Bu güvenlik açığı, AI ajanlarının kurumsal ortamlarda giderek daha fazla benimsenmesiyle birlikte, bu tür sistemlerin güvenlik mimarisinin ne kadar kritik olduğunu bir kez daha gösteriyor. Paylaşımlı bir Cloud Run ortamında çalışan kod bloklarının aşırı ayrıcalıklara sahip olması, temel bir tasarım hatası olarak öne çıkıyor. Google'ın yamayı yayınlamış olması olumlu, ancak bu tür açıkların tespit edilmesinin zorluğu, kurumların AI altyapılarını güvence altına almak için daha proaktif denetim mekanizmaları geliştirmesi gerektiğini ortaya koyuyor.