Lỗ hổng ‘Rogue Agent’ trên Google Dialogflow CX: Nguy cơ chiếm quyền điều khiển chatbot
Các nhà nghiên cứu tại Varonis vừa phát hiện một lỗ hổng nghiêm trọng mang tên 'Rogue Agent' trong Google Dialogflow CX, cho phép kẻ tấn công chiếm quyền điều khiển chatbot và đánh cắp dữ liệu người...
Một lỗ hổng bảo mật nghiêm trọng trong Google Dialogflow CX vừa được phát hiện, có khả năng cho phép kẻ tấn công có quyền chỉnh sửa (edit rights) trên một agent sử dụng tính năng Code Block để xâm nhập vào các agent khác trong cùng dự án Google Cloud. Từ đó, kẻ tấn công có thể đọc các đoạn hội thoại trực tiếp, đánh cắp dữ liệu người dùng và điều khiển chatbot gửi các tin nhắn giả mạo, bao gồm cả các yêu cầu lừa đảo (phishing) để lấy mật khẩu.
Table Of Content
Cơ chế tấn công ‘Rogue Agent’
Lỗ hổng này, được các chuyên gia từ Varonis đặt tên là Rogue Agent, ảnh hưởng đến các tổ chức sử dụng tính năng Playbooks và Code Blocks của Dialogflow – công cụ cho phép nhà phát triển nhúng mã Python tùy chỉnh. Để thực hiện khai thác, kẻ tấn công cần có quyền dialogflow.playbooks.update. Điều này đồng nghĩa với việc rủi ro chủ yếu đến từ các mối đe dọa nội bộ hoặc tài khoản nhà phát triển đã bị chiếm quyền, thay vì các cuộc tấn công từ xa không xác thực.
Vấn đề nằm ở chỗ, mọi agent sử dụng Code Blocks trong cùng một dự án Google Cloud đều chia sẻ chung một môi trường thực thi Cloud Run. Varonis phát hiện ra rằng file code_execution_env.py – file chịu trách nhiệm bao bọc mã nguồn của nhà phát triển – lại có quyền ghi (write access). Kẻ tấn công có thể thay thế file này bằng một phiên bản độc hại, từ đó kiểm soát toàn bộ các Code Block đang chạy trong môi trường chung.
Các lỗ hổng bổ sung trong môi trường sandbox
Ngoài việc ghi đè file, Varonis còn chỉ ra hai vấn đề bảo mật khác:
- Truy cập internet không giới hạn: Môi trường Code Block cho phép kết nối trực tiếp ra internet, vô hiệu hóa các cơ chế bảo vệ của VPC Service Controls, tạo điều kiện cho việc đánh cắp dữ liệu và điều khiển từ xa.
- Rò rỉ Instance Metadata Service (IMDS): Môi trường này có thể truy cập vào endpoint IMDS để lấy token của tài khoản dịch vụ (service account), dù quyền hạn của tài khoản này khá hạn chế.
Khuyến nghị kiểm tra cho quản trị viên
Google đã phát hành bản vá cho lỗ hổng này từ tháng 6/2026. Mặc dù không có bằng chứng cho thấy lỗ hổng đã bị khai thác trong thực tế, các tổ chức vẫn nên thực hiện các bước kiểm tra sau:
- Rà soát quyền truy cập: Kiểm tra các tài khoản và vai trò đang sở hữu quyền
dialogflow.playbooks.update. - Kiểm tra nhật ký (Audit logs): Xem xét các bản ghi
DATA_WRITEcủa Dialogflow API để tìm kiếm các thay đổi bất thường đối với Playbook. - Phân tích Cloud Logging: Tìm kiếm các lỗi thực thi bất thường có thể xuất phát từ các Code Block độc hại.
- Xác thực thủ công: Kiểm tra lại từng Playbook trong console để đảm bảo tất cả các Code Block đều là những mã nguồn đã được phê duyệt.
Khác với các lỗ hổng AI gần đây thường tập trung vào tấn công mô hình (prompt injection), Rogue Agent là một ví dụ điển hình về việc lạm dụng các tính năng phát triển thông thường trong một môi trường runtime không được cách ly đúng cách. Điều này nhắc nhở các đội ngũ bảo mật rằng các quyền chỉnh sửa nội dung trong môi trường cloud đôi khi chính là quyền thực thi mã nguồn, cần được quản lý chặt chẽ hơn.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.