Dialogflow CX 漏洞已補好,但客服 AI agent 權限要重查
Tech News

Dialogflow CX 漏洞已補好,但客服 AI agent 權限要重查

圖片:via iThome — https://www.ithome.com.tw/news/177181
TechLab 編輯部(譯)·

重點係 Code Blocks、Cloud Run 同 IAM

發生咩事

iThome 報道,資安公司 Varonis 揭露咗針對 Google Dialogflow CX 嘅 Rogue Agent 問題。講白啲,呢單重點唔係街外人冇登入就打入客服 bot;門檻係要先攞到某個 agent 嘅 dialogflow.playbooks.update 權限,特別係有用 Playbook Code Blocks 嗰類 agent。Google 已經喺 2026 年 4 月做咗初步修補,6 月補好整件事;Axios 引述 Google Cloud 話冇已知客戶受影響,亦話唔使客戶再手動處理。

Google Cloud 官方 blog 入面,Dialogflow 經 DLP 遮蔽敏感資料嘅流程圖

圖片:Google Cloud Blog

漏洞重點喺共享 runtime

Dialogflow CX Playbook Code Blocks 可以喺對話流程入面寫 inline Python,用嚟控制 agent 行為。Varonis 指出,當同一個 Google Cloud project 入面有多個 agent 用 Code Blocks,佢哋實際上共用一個由 Google 管嘅 Cloud Run 執行環境。問題就喺呢度:如果有人有權改其中一個 playbook,研究人員話惡意 code 有機會留喺共享 runtime 入面,跟住影響同 project 其他 agent,偷睇對話內容、改 bot 回覆,甚至引導用戶交出敏感資料。

Varonis 仲提到兩個加大風險嘅旁支:Code Blocks 所在嘅 Cloud Run 環境有出網能力,VPC Service Controls 未必攔到資料外流;同場研究亦睇到 IMDS 暴露過低權限 Google-managed service account token。技術細節收到呢度就夠,防守上要記住:managed service 幫你處理 server 管理,唔代表隔離、出網同身份邊界可以當黑盒。

點解值得緊張

值得緊張嘅位係:LLM prompt 反而唔係焦點,普通 IAM 權限都可以扯出跨 agent 風險。好多公司整客服 bot 時會貪方便,測試 bot、正式 bot、唔同品牌或者唔同部門嘅 agent 都放埋同一個 project;平時睇落只係管理方便,但一旦 runtime 隔離出事,project 就變成實際影響範圍。呢類風險以前多數出現喺雲端 server、CI/CD 或 container,而家搬咗去 AI agent 層。

香港公司要點睇

如果你只係用 Google Cloud 普通 AI API,呢單未必同你有直接關係;但香港網店、客服中心、保險 fintech、SaaS 團隊,如果用 Dialogflow CX 做 WhatsApp / web chat / 內部 IT bot,就要問清楚三樣嘢:邊個 project 有開 Playbook Code Blocks、邊啲人或 service account 有 dialogflow.playbooks.update、同一個 project 入面有冇混咗測試同正式 agent。供應商幫你代管 bot 嘅話,vendor account 同 CI token 都要一齊查。

而家要查啲咩

第一步係盤點範圍:只睇 2026 年 6 月前用過 Dialogflow CX Playbook Code Blocks 嘅 agent,因為 Varonis 同 Google 講嘅時間線都指向呢段。之後收窄權限,dialogflow.playbooks.update 唔應該跟住寬鬆角色亂派,外判、測試帳號、離職員工、舊 service account 全部要清。正式同測試 bot 最好拆 project,敏感部門嘅 agent 亦唔好同 marketing bot 放埋一齊。

Logs 方面要現實啲:Varonis 建議,如果你有開 Dialogflow API 嘅 DATA_WRITE Audit Logs,就翻查舊 playbook update 事件,再對用戶、IP、時間做交叉檢查。Google Cloud 文件亦寫明,Data Access audit logs 除 BigQuery 外預設係關咗,所以冇 log 唔等於乾淨。再加多一步,睇 Cloud Logging 入面有冇 Code Blocks 相關失敗 request,因為惡意邏輯有時會喺錯誤訊息露出痕跡。

最後係資料衛生。Dialogflow CX 有 Security settings 可以設 redaction 同 retention;官方文件講,如果 agent 冇指定 security settings,就唔會自動遮蔽資料。即係話,就算 Rogue Agent 已補好,客服 bot 原本收咩、log 咩、留幾耐,都仍然係你自己要管。收身份證、保單、付款資料嗰啲流程,應該開 DLP / redaction,亦要檢查 Conversation History、Cloud Logging 同 BigQuery export 有冇留低太多敏感內容。

修補咗,但唔好當冇事

Google 已補好呢個具體漏洞,呢點要講清楚,件事唔應該講到似大規模資料外流。不過呢單俾公司一個好實用嘅提醒:AI agent 已經唔只係一個聊天介面,佢會跑 code、叫工具、讀資料、寫資料;安全檢查要跟住權限、runtime、logs 同資料保留一齊做。用開 Dialogflow CX 嘅團隊,下一步就係查 IAM、查 project 分隔、查 Code Blocks 清單,同確認 2026 年 6 月前後有冇異常改動。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook