Pesquisadores da Varonis Threat Labs descobriram uma falha crítica no Dialogflow CX, plataforma de chatbots com inteligência artificial da Google Cloud, que permitia a invasores injetar código malicioso persistente e roubar todas as conversas entre usuários e o assistente virtual. A vulnerabilidade, batizada de “Rogue Agent”, exigia apenas uma permissão de edição para ser ativada e foi corrigida pela Google em junho de 2026.
O que é o Rogue Agent
A vulnerabilidade Rogue Agent explora os Playbook Code Blocks, um recurso do Dialogflow CX que permite a desenvolvedores embutir lógica em Python dentro do chatbot. Esses blocos rodam em um ambiente gerenciado pela Google via Cloud Run e processam entradas dos usuários, chamam APIs externas e executam cálculos personalizados. O problema: o arquivo code_execution_env.py, responsável por rodar essa lógica através da função exec() do Python, era gravável e não tinha restrições de código, segundo o relatório da Cyber Security News.
Isso significa que qualquer pessoa com a permissão dialogflow.playbooks.update — que pode ser concedida para um único agente — podia sobrescrever esse arquivo e assumir o controle de todos os agentes do mesmo projeto. A Varonis Threat Labs, equipe de pesquisa liderada por Daniel Reyhanian, demonstrou que o ataque dava acesso a variáveis de sessão compartilhadas, incluindo todo o histórico de conversas.
Como o ataque funcionava na prática
O ataque seguia uma cadeia de exploração silenciosa e praticamente indetectável. Primeiro, o invasor sobrescrevia o arquivo de execução com código próprio. A partir daí, três ações se tornavam possíveis simultaneamente:
| Capacidade do ataque | O que acontecia |
|---|---|
| Exfiltração de conversas | Dados de todas as interações eram enviados a servidores externos |
| Personificação de respostas | Função respond() interna permitia forjar respostas legítimas |
| Phishing de credenciais | Pedidos falsos de reautenticação roubavam senhas dos usuários |
| Evasão de logs | Configuração era restaurada ao original, sumindo do Cloud Logging |
Depois de injetar o código malicioso, o atacante restaurava a configuração original no console. O comprometimento ficava invisível nos registros padrão de auditoria da plataforma, dificultando qualquer investigação forense posterior.
Dois problemas agravantes
A Varonis identificou ainda duas falhas adicionais que amplificavam dramaticamente o impacto do ataque. A primeira envolvia o VPC Service Controls, o mecanismo de segurança que deveria isolar dados sensíveis dentro do perímetro da nuvem. Como o Cloud Run mantinha acesso irrestrito à internet de saída, o ambiente de execução podia funcionar como um proxy de exfiltração — mesmo quando o VPC-SC estava ativo e configurado corretamente.
O segundo problema era a exposição do Instance Metadata Service (IMDS), que permitia a recuperação de tokens de acesso vinculados a uma conta de serviço gerenciada pela Google. Embora essa conta tivesse privilégios baixos, a exposição violava princípios fundamentais de isolamento entre componentes na nuvem. Juntos, esses dois vetores transformavam uma vulnerabilidade de injeção de código em uma ferramenta de roubo de dados em larga escala.
Linha do tempo da correção
A Varonis reportou a vulnerabilidade à Google em novembro de 2025. A Google lançou uma correção inicial em abril de 2026, mas só resolveu completamente o problema em junho de 2026. Não há registro de exploração ativa antes da correção, segundo a Cyber Security News. Apesar disso, a janela de sete meses entre a notificação e a correção definitiva representa um período de risco significativo para organizações que utilizavam a plataforma.
Impacto para empresas brasileiras
Aproximadamente 80% das empresas da lista Fortune 500 já utilizam agentes de IA em produção, segundo dados citados pela Varonis. No Brasil, a adoção de chatbots baseados em IA cresceu de forma acelerada em setores como bancos, varejo, saúde e serviços governamentais. Plataformas como o Dialogflow CX são populares por oferecerem integração nativa com Google Cloud, suporte a múltiplos idiomas e custo acessível para empresas de médio porte.
O risco é particularmente alto em organizações que concedem permissões amplas a desenvolvedores, estagiários ou equipes terceirizadas que configuram e mantêm os chatbots. A permissão dialogflow.playbooks.update pode parecer inofensiva — afinal, é apenas a capacidade de editar um agente de conversação —, mas, como a pesquisa demonstrou, ela é suficiente para comprometer todo o pipeline de IA de uma empresa.
Empresas brasileiras que usavam Dialogflow CX com Playbook Code Blocks antes de junho de 2026 precisam revisar seus agentes em busca de código malicioso persistente, mesmo que não tenham detectado nenhuma atividade suspeita. A natureza invisível do ataque significa que comprometimentos anteriores podem ter passado despercebidos.
Padrão perigoso em IA corporativa
O Rogue Agent não é um caso isolado. Ele se junta a uma série crescente de vulnerabilidades descobertas em plataformas de IA corporativa pela própria Varonis. O Reprompt, ataque de clique único contra o Microsoft Copilot Personal, e o SearchLeak, cadeia de vulnerabilidades no Microsoft 365 Copilot Enterprise que permitia roubar códigos MFA, e-mails e arquivos privados com um único clique, demonstram que a superfície de ataque em ferramentas de IA está se expandindo rapidamente.
O SearchLeak foi corrigido como CVE-2026-42824, com classificação de severidade máxima. Esse padrão sugere que os fornecedores de nuvem estão construindo camadas de IA sobre infraestruturas que não foram projetadas para isolar adequadamente o contexto conversacional — exatamente o tipo de dado que contém as informações mais sensíveis de usuários e empresas.
O que fazer agora
A Google e a Varonis recomendam que organizações que utilizavam Dialogflow CX com Playbook Code Blocks antes do patch tomem as seguintes medidas imediatas:
- Ativar logs de auditoria DATA_WRITE na API do Dialogflow e revisar eventos passados de atualização de playbooks em busca de anomalias
- Correlacionar atualizações suspeitas com acessos a APIs incomuns, endereços IP atípicos ou horários fora do padrão
- Inspecionar o Cloud Logging por requisições falhadas e analisar o campo
protoPayload.status.messageem busca de exceções ligadas a Code Blocks maliciosos - Revisar manualmente cada agente no console do Dialogflow CX para confirmar que apenas Code Blocks autorizados estão configurados
- Auditar permissões de
dialogflow.playbooks.updatee revogar accessos desnecessários, especialmente de contas de serviço e desenvolvedores terceirizados
Referências
- Cyber Security News — Critical Vulnerability in GCP Dialogflow Allows Attackers to Inject Malicious Code (7 jul. 2026)
- Varonis Threat Labs — Rogue Agent: How a Single Code Block Could Hijack Your AI Conversations in Google’s DialogFlow (7 jul. 2026)
- Help Net Security — Cobertura de vulnerabilidades em plataformas de IA (jul. 2026)