สรุปสั้น

นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ร้ายแรงในบริการ Dialogflow CX ของแพลตฟอร์ม Google Cloud ซึ่งเปิดทางให้ผู้โจมตีฝังโค้ดอันตรายแบบถาวรเข้าไปในไปป์ไลน์แชตบอตที่ขับเคลื่อนด้วย AI ขององค์กรได้ ช่องโหว่นี้ถูกตั้งชื่อว่า “Rogue Agent” และค้นพบโดยบริษัท Varonis Threat Labs โดยระบุว่าสามารถแอบดักและขโมยบทสนทนา รวมถึงเปิดทางให้ทำแคมเปญฟิชชิงขนาดใหญ่ได้ ที่น่ากังวลคือการโจมตีต้องการเพียงสิทธิ์แก้ไข (edit permission) เพียงสิทธิ์เดียวก็สามารถกดชนวนได้ ต้นตอของปัญหาอยู่ที่ฟีเจอร์ Playbook Code Blocks ซึ่งเปิดให้นักพัฒนาฝังตรรกะ Python เองเพื่อประมวลผลข้อมูลผู้ใช้และเรียก API ภายนอกในสภาพแวดล้อมที่ Google เป็นผู้จัดการ

ปัญหาสำคัญคือทุกเอเจนต์ที่ใช้ Code Blocks ในโปรเจกต์ GCP เดียวกันจะใช้สภาพแวดล้อมรัน Cloud Run ร่วมกัน และนักวิจัยพบว่าไฟล์สำคัญชื่อ code_execution_env.py ที่รันตรรกะของ Code Block ผ่านฟังก์ชัน exec() ของ Python นั้นสามารถเขียนทับได้และไม่มีการจำกัดโค้ด เมื่อผู้โจมตีเขียนทับไฟล์นี้ก็จะเข้าถึงตัวแปรเซสชันที่ใช้ร่วมกัน เช่น ประวัติบทสนทนา และยึดขอบเขตการทำงานของทุกเอเจนต์ในโปรเจกต์ได้ทันที บริษัท Varonis รายงานช่องโหว่ต่อ Google ตั้งแต่เดือนพฤศจิกายน 2025 โดย Google ออกแพตช์เบื้องต้นในเดือนเมษายน 2026 และแก้ไขปัญหาได้อย่างสมบูรณ์ภายในเดือนมิถุนายน 2026 โดยยังไม่พบการโจมตีจริงในธรรมชาติก่อนการแก้ไข

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 ว่า ช่องโหว่ Rogue Agent อาศัยการใช้งานฟีเจอร์ Playbook Code Blocks ของ Dialogflow CX ที่เปิดให้นักพัฒนาฝังตรรกะ Python แบบกำหนดเองเพื่อประมวลผลอินพุตของผู้ใช้และเรียกใช้ API ภายนอกได้ภายในสภาพแวดล้อมที่ Google บริหารจัดการ จุดอ่อนที่แท้จริงคือเอเจนต์ทุกตัวที่ใช้ Code Blocks ภายในโปรเจกต์ GCP เดียวกันต่างแชร์สภาพแวดล้อมการทำงานของ Cloud Run ร่วมกัน และไฟล์ code_execution_env.py ที่ทำหน้าที่รันโค้ดผ่าน exec() กลับเปิดให้เขียนทับได้โดยไม่มีการจำกัดสิทธิ์ นักวิจัยชี้ว่าผู้โจมตีต้องการเพียงสิทธิ์ dialogflow.playbooks.update ซึ่งสามารถกำหนดขอบเขตให้เอเจนต์เพียงตัวเดียวก็เพียงพอที่จะตั้งค่า Code Blocks และรันโค้ด Python ตามอำเภอใจได้

เมื่อยึดครองได้แล้ว ผู้โจมตีสามารถขโมยข้อมูลบทสนทนาส่งออกไปยังเซิร์ฟเวอร์ภายนอก ปลอมตัวเป็นคำตอบที่ถูกต้องตามกฎหมายของเอเจนต์โดยใช้ฟังก์ชันภายในอย่าง respond() และแทรกข้อความฟิชชิงที่อำพรางเป็นคำขอให้ยืนยันตัวตนใหม่ (reauthentication) เพื่อขโมยข้อมูลรับรองของผู้ใช้ ที่อันตรายยิ่งกว่าคือเมื่อฝังโค้ดอันตรายไว้ถาวรแล้ว ผู้โจมตียังสามารถกู้คืนหน้าตาการตั้งค่าเดิมในคอนโซลให้ดูปกติได้ ทำให้การบุกรุกมองไม่เห็นใน Cloud Logging บริษัท Varonis ยังพบปัญหาที่ทวีความรุนแรงอีกสองประการ ได้แก่ การเลี่ยง VPC Service Controls เพราะ Cloud Run เปิดให้เชื่อมต่ออินเทอร์เน็ตขาออกได้ไม่จำกัด ทำให้สภาพแวดล้อมกลายเป็นพร็อกซีลักลอบส่งข้อมูลออกได้แม้บังคับใช้ VPC-SC แล้ว และการรั่วไหลของข้อมูลรับรองผ่าน Instance Metadata Service (IMDS) ที่เปิดให้ดึงโทเคนการเข้าถึงซึ่งผูกกับบัญชีบริการที่ Google จัดการได้

critical vulnerability in gcp dialogflow cx rogue agent allows attackers to inject malicious code varonis

รายละเอียดช่องโหว่

แก่นของช่องโหว่อยู่ที่การออกแบบสภาพแวดล้อมการรันโค้ดแบบใช้ร่วมกัน (shared execution environment) ระหว่างเอเจนต์ทั้งหมดในโปรเจกต์เดียว ไฟล์ code_execution_env.py ซึ่งเรียกใช้ exec() ในการประมวลผล Code Block นั้นเขียนทับได้และไม่มีแซนด์บ็อกซ์จำกัด เมื่อผู้โจมตีที่มีสิทธิ์ dialogflow.playbooks.update เพียงเอเจนต์เดียวเขียนทับไฟล์นี้ โค้ดที่ฝังจะทำงานในบริบทที่แชร์กับทุกเอเจนต์ จึงเข้าถึงตัวแปรเซสชันร่วม เช่น ประวัติบทสนทนาของผู้ใช้รายอื่นได้ทั้งหมด ผลลัพธ์คือการยกระดับจากสิทธิ์แก้ไขแคบ ๆ ไปสู่การควบคุมขอบเขตการทำงานของแชตบอตทั้งโปรเจกต์ ประกอบกับช่องทาง Cloud Run ที่ต่ออินเทอร์เน็ตขาออกได้อิสระและการเปิดเผย IMDS ทำให้ผู้โจมตีมีทั้งช่องส่งข้อมูลออกและโทเคนบัญชีบริการไปในตัว นักวิจัยระบุว่า Rogue Agent เป็นหนึ่งในชุดช่องโหว่ของแพลตฟอร์ม AI ที่ Varonis เปิดเผยอย่างมีความรับผิดชอบต่อเนื่อง ตามหลัง Reprompt ใน Microsoft Copilot Personal และ SearchLeak ใน Microsoft Copilot Enterprise ที่ถูกแก้ในชื่อ CVE-2026-42824 ซึ่งมีระดับความรุนแรงสูงสุด

ผลกระทบต่อไทย

องค์กรไทยที่นำ Dialogflow CX ของ Google Cloud ไปสร้างแชตบอตบริการลูกค้า ระบบตอบคำถามอัตโนมัติ หรือผู้ช่วย AI บนเว็บและแอปพลิเคชัน อยู่ในกลุ่มที่ได้รับผลกระทบโดยตรง เพราะแชตบอตเหล่านี้มักประมวลผลข้อมูลส่วนบุคคลของลูกค้า ทั้งบทสนทนา ข้อมูลติดต่อ และบางครั้งข้อมูลบัญชี หากผู้ไม่หวังดีที่มีสิทธิ์แก้ไขในโปรเจกต์ (เช่น พนักงาน ผู้รับเหมา หรือบัญชีที่ถูกยึด) ใช้ช่องโหว่นี้ ก็สามารถดักบทสนทนาของลูกค้าทุกราย ปลอมคำตอบของแชตบอต และหลอกให้ผู้ใช้กรอกข้อมูลรับรองผ่านข้อความฟิชชิงที่ดูเหมือนมาจากระบบจริง โดยที่การบุกรุกอาจไม่ปรากฏใน log ความเสี่ยงนี้ยิ่งสำคัญภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) แม้ Google จะแก้ไขช่องโหว่ฝั่งแพลตฟอร์มแล้ว แต่กรณีนี้ก็ตอกย้ำว่าองค์กรไทยต้องทบทวนการจัดการสิทธิ์และการเฝ้าระวังบริการ AI บนคลาวด์อย่างจริงจัง

คำแนะนำ

ทบทวนและจำกัดสิทธิ์ dialogflow.playbooks.update รวมถึงสิทธิ์แก้ไขอื่น ๆ ในโปรเจกต์ Dialogflow CX ตามหลัก least privilege โดยให้เฉพาะผู้ที่จำเป็นจริง ๆ และเปิดใช้การตรวจสอบตัวตนหลายปัจจัย (MFA) กับบัญชีที่มีสิทธิ์ปรับแต่งเอเจนต์ ตรวจสอบว่าได้รับแพตช์ล่าสุดจาก Google ครบถ้วน (Google แก้ไขสมบูรณ์ในมิถุนายน 2026) และตรวจทานการตั้งค่า Code Blocks ของทุกเอเจนต์ว่าไม่มีการฝังโค้ดที่ไม่พึงประสงค์ บังคับใช้ VPC Service Controls ควบคู่กับการจำกัดการเชื่อมต่ออินเทอร์เน็ตขาออกของ Cloud Run เท่าที่จำเป็น และเฝ้าระวังการเรียกใช้ IMDS หรือการส่งข้อมูลออกไปยังปลายทางที่ไม่รู้จัก นอกจากนี้ควรตั้งการแจ้งเตือนเมื่อมีการแก้ไข playbook หรือ Code Blocks และหมั่นตรวจสอบ Cloud Logging เทียบกับการเปลี่ยนแปลงการตั้งค่าจริง เพื่อลดโอกาสที่การบุกรุกจะถูกกลบให้มองไม่เห็น

แหล่งอ้างอิง