- Varonis descubrió fallas de nivel CVE en Google Cloud Dialogflow CX, donde los bloques de código malicioso en el libro de jugadas podrían secuestrar agentes, filtrar registros de chat y robar credenciales.
- Un entorno de ejecución de nube compartida con beneficios adicionales significa que un agente comprometido puede controlar a todos los demás en un proyecto, lo que hace que los ataques sean prácticamente indetectables en el registro de la nube.
- Google solucionó el problema entre abril y junio de 2026; Los investigadores recomiendan revisar los registros de auditoría, comprobar si hay errores inusuales e inspeccionar manualmente los bloques de código en busca de código no autorizado.
Los investigadores descubrieron recientemente una vulnerabilidad crítica en Dialogflow CX de Google Cloud, que permitió a los actores de amenazas hacerse cargo de varios agentes de inteligencia artificial, acceder a registros de chat e incluso extraer datos confidenciales, como credenciales de inicio de sesión.
Dialogflow CX es la plataforma de inteligencia artificial conversacional de Google Cloud que se utiliza para crear muchos chatbots de voz y texto. La plataforma permite a los desarrolladores agregar bloques de código a “libros de estrategias” conversacionales, que son fragmentos personalizados de Python. Todos estos bloques se ejecutan dentro de un único servicio de ejecución en la nube administrado por Google, compartido entre todos los agentes en un proyecto de Google Cloud Platform.
El investigador de seguridad Varonis dijo que descubrieron una vulnerabilidad crítica en la que un atacante teórico no necesitaría un acceso de administrador extenso. Al permitir que un solo chatbot edite su configuración, podrían implementar código malicioso con relativa facilidad. Varonis explicó además que el entorno de ejecución en la nube no tenía limitaciones de código, pero tenía un sistema de archivos grabable, salida pública a Internet y se ejecutaba con privilegios adicionales. Los archivos originales se pueden sobrescribir por completo, añadió.
Google está solucionando el problema
Como resultado, el atacante tuvo acceso a todo el historial de conversaciones y al estado de la sesión. Pueden llamar a funciones internas y respuestas falsas generadas por LLM que pueden generar reclamos, phishing y robo de credenciales.
Debido a que el entorno por proyecto es compartido, un agente comprometido puede secuestrar a todos los demás agentes en ese proyecto, y debido a que el registro en la nube no captura las sobrescrituras de archivos ni la lógica inyectada, el ataque es “prácticamente indetectable”.
Varonis informó del problema a Google en noviembre de 2025 y este último regresó con una solución inicial en abril de 2026. Sin embargo, el problema no se resolvió por completo hasta junio de 2026.
En el informe, los investigadores afirman que no hay evidencia de intentos de explotación salvaje y aconsejan a los clientes que revisen los registros de auditoría DATA_WRITE para los manuales. Actualice las llamadas del libro de jugadas, verifique las sesiones anormales. Identifique los errores de detección e inspeccione manualmente los bloques de codena de cada agente en busca de izquierda.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.