
Dialogflow CX 漏洞已補好,但客服 AI agent 權限要重查
重點係 Code Blocks、Cloud Run 同 IAM
發生咩事
iThome 報道,資安公司 Varonis 揭露咗針對 Google Dialogflow CX 嘅 Rogue Agent 問題。講白啲,呢單重點唔係街外人冇登入就打入客服 bot;門檻係要先攞到某個 agent 嘅 dialogflow.playbooks.update 權限,特別係有用 Playbook Code Blocks 嗰類 agent。Google 已經喺 2026 年 4 月做咗初步修補,6 月補好整件事;Axios 引述 Google Cloud 話冇已知客戶受影響,亦話唔使客戶再手動處理。

圖片:Google Cloud Blog
漏洞重點喺共享 runtime
Dialogflow CX Playbook Code Blocks 可以喺對話流程入面寫 inline Python,用嚟控制 agent 行為。Varonis 指出,當同一個 Google Cloud project 入面有多個 agent 用 Code Blocks,佢哋實際上共用一個由 Google 管嘅 Cloud Run 執行環境。問題就喺呢度:如果有人有權改其中一個 playbook,研究人員話惡意 code 有機會留喺共享 runtime 入面,跟住影響同 project 其他 agent,偷睇對話內容、改 bot 回覆,甚至引導用戶交出敏感資料。
Varonis 仲提到兩個加大風險嘅旁支:Code Blocks 所在嘅 Cloud Run 環境有出網能力,VPC Service Controls 未必攔到資料外流;同場研究亦睇到 IMDS 暴露過低權限 Google-managed service account token。技術細節收到呢度就夠,防守上要記住:managed service 幫你處理 server 管理,唔代表隔離、出網同身份邊界可以當黑盒。
點解值得緊張
值得緊張嘅位係:LLM prompt 反而唔係焦點,普通 IAM 權限都可以扯出跨 agent 風險。好多公司整客服 bot 時會貪方便,測試 bot、正式 bot、唔同品牌或者唔同部門嘅 agent 都放埋同一個 project;平時睇落只係管理方便,但一旦 runtime 隔離出事,project 就變成實際影響範圍。呢類風險以前多數出現喺雲端 server、CI/CD 或 container,而家搬咗去 AI agent 層。
香港公司要點睇
如果你只係用 Google Cloud 普通 AI API,呢單未必同你有直接關係;但香港網店、客服中心、保險 fintech、SaaS 團隊,如果用 Dialogflow CX 做 WhatsApp / web chat / 內部 IT bot,就要問清楚三樣嘢:邊個 project 有開 Playbook Code Blocks、邊啲人或 service account 有 dialogflow.playbooks.update、同一個 project 入面有冇混咗測試同正式 agent。供應商幫你代管 bot 嘅話,vendor account 同 CI token 都要一齊查。
而家要查啲咩
第一步係盤點範圍:只睇 2026 年 6 月前用過 Dialogflow CX Playbook Code Blocks 嘅 agent,因為 Varonis 同 Google 講嘅時間線都指向呢段。之後收窄權限,dialogflow.playbooks.update 唔應該跟住寬鬆角色亂派,外判、測試帳號、離職員工、舊 service account 全部要清。正式同測試 bot 最好拆 project,敏感部門嘅 agent 亦唔好同 marketing bot 放埋一齊。
Logs 方面要現實啲:Varonis 建議,如果你有開 Dialogflow API 嘅 DATA_WRITE Audit Logs,就翻查舊 playbook update 事件,再對用戶、IP、時間做交叉檢查。Google Cloud 文件亦寫明,Data Access audit logs 除 BigQuery 外預設係關咗,所以冇 log 唔等於乾淨。再加多一步,睇 Cloud Logging 入面有冇 Code Blocks 相關失敗 request,因為惡意邏輯有時會喺錯誤訊息露出痕跡。
最後係資料衛生。Dialogflow CX 有 Security settings 可以設 redaction 同 retention;官方文件講,如果 agent 冇指定 security settings,就唔會自動遮蔽資料。即係話,就算 Rogue Agent 已補好,客服 bot 原本收咩、log 咩、留幾耐,都仍然係你自己要管。收身份證、保單、付款資料嗰啲流程,應該開 DLP / redaction,亦要檢查 Conversation History、Cloud Logging 同 BigQuery export 有冇留低太多敏感內容。
修補咗,但唔好當冇事
Google 已補好呢個具體漏洞,呢點要講清楚,件事唔應該講到似大規模資料外流。不過呢單俾公司一個好實用嘅提醒:AI agent 已經唔只係一個聊天介面,佢會跑 code、叫工具、讀資料、寫資料;安全檢查要跟住權限、runtime、logs 同資料保留一齊做。用開 Dialogflow CX 嘅團隊,下一步就係查 IAM、查 project 分隔、查 Code Blocks 清單,同確認 2026 年 6 月前後有冇異常改動。
參考來源
- iThome — 資安業者揭露Google Dialogflow CX重大缺陷,攻擊者可透過惡意AI代理竊取AI對話與共享資料 — original report
- Varonis:Rogue Agent Dialogflow attack — 主要技術披露,確認影響條件、時間線、修補同 Varonis 建議查核項目。
- Axios:Google patched AI chatbot flaw — 核對 Google Cloud 回應:已完全緩解、冇已知客戶受影響、客戶唔使手動處理。
- Google Cloud:Code blocks | Dialogflow CX — 官方文件,確認 Code Blocks 係 playbook 入面嘅 inline Python 功能。
- Google Cloud:Dialogflow roles and permissions — 官方 IAM 權限清單,核對
dialogflow.playbooks.update同相關 Dialogflow 權限。 - Google Cloud:Security settings | Dialogflow CX — 官方文件,核對 redaction、retention 同無 security settings 時唔會自動遮蔽。
- Google Cloud:Cloud Audit Logs overview — 官方 Cloud Logging 文件,核對 Data Access audit logs 預設關閉同查看權限。
- Google Cloud:Versions and environments | Dialogflow CX — 官方文件,核對 production traffic 應用 versions、環境分隔同 draft 風險。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







