Hello there, ('ω')ノ

 

初めての Google HOFを。

 

脆弱性：

　壊れたアクセス制御

 

記事：

　https://rv09.medium.com/my-first-google-hof-b66c54f6acfd

 

Dialogflow は、会話型ユーザ インターフェイスの設計とモバイル アプリ、

Web アプリケーション、デバイス、ボット、自動音声応答システムなどへの

統合を容易にする自然言語理解プラットフォームで。

Dialogflow を使用すると、ユーザが製品を操作するための

新しく魅力的な方法を提供できて。

 

Dialogflow は、テキストや音声入力 (電話や音声録音など) を含む、

顧客からの複数の種類の入力を分析でき。

また、テキストや合成音声など、いくつかの方法で顧客に応答することもできて。 

 

Dialogflowを使用して、次のような多くのGoogleアクションを作成して。

　PU Help

　Food Guru など

これは音声アシスタントを開発するための非常に優れた簡単なツールであり、

音声業界が急成長していることは誰もが知っていて。

 

ある日、Dialogflow のロール機能を使用していて。

Dialogflow には 3 つの役割があり。

　管理者：アクションの作成者、完全なアクセス権を持ち

　開発者：読み取り／書き込みアクセス

　レビュー担当者：読み取りアクセスのみ

 

ユーザへの役割の付与

ユーザにレビューアの役割を付与し、Dialogflow のすべての機能を使用して、

レビューアの役割のユーザができること、できないことを確認して。

[Training ] タブに移動すると、レビュー担当者ロールのユーザは、

[Training ] タブを通じてトレーニング フレーズの変更、

インテントへのトレーニング フレーズの追加、会話の削除、

インテントの一致の変更を行うことができて。

トレーニングタブ

 

ドキュメントによれば、レビュー担当者ロールのユーザはエージェントを

変更できないため、これは深刻な問題でしたが、自分は変更でて。

脆弱性の影響：

レビューアがインテント マッチング、トレーニング フレーズ、履歴タブからの

会話の削除を変更することで、Dialogflow プロジェクト全体の品質を

低下させる可能性があるため、これは大きな影響を与えて。

プロジェクト チームがデータを分析してエージェントを改善するには、

会話が不可欠で。

 

攻撃者が携帯電話などのデバイスでエージェントを使用することにより、

プロジェクトの機能を低下させることが非常に簡単になり。

これらの会話はすべて [Training ] タブで利用できるようになり、

インテント マッチングを変更したり、トレーニング フレーズを

追加したりすることができて。

 

レビュー担当者は [Intent ] タブからすべてのトレーニング フレーズを

表示できるため、このシナリオを使用してこれらすべてのトレーニング フレーズを

別のインテントに追加できて。

 

これは、ユーザーに誤った応答を与えるため、エージェントに大きな影響を

与える可能性があって。

初心者へのアドバイス：

　１．ターゲットを 1 つ選択して。

　２．それに時間を費やして。(１か月以上)

　３．ドキュメントを何度も読んで。

 

Best regards, (^^ゞ