Hello there, ('ω')ノ
初めての Google HOFを。
脆弱性:
壊れたアクセス制御
記事:
https://rv09.medium.com/my-first-google-hof-b66c54f6acfd
Dialogflow は、会話型ユーザ インターフェイスの設計とモバイル アプリ、
Web アプリケーション、デバイス、ボット、自動音声応答システムなどへの
統合を容易にする自然言語理解プラットフォームで。
Dialogflow を使用すると、ユーザが製品を操作するための
新しく魅力的な方法を提供できて。
Dialogflow は、テキストや音声入力 (電話や音声録音など) を含む、
顧客からの複数の種類の入力を分析でき。
また、テキストや合成音声など、いくつかの方法で顧客に応答することもできて。
Dialogflowを使用して、次のような多くのGoogleアクションを作成して。
PU Help
Food Guru など
これは音声アシスタントを開発するための非常に優れた簡単なツールであり、
音声業界が急成長していることは誰もが知っていて。
ある日、Dialogflow のロール機能を使用していて。
Dialogflow には 3 つの役割があり。
管理者:アクションの作成者、完全なアクセス権を持ち
開発者:読み取り/書き込みアクセス
レビュー担当者:読み取りアクセスのみ
ユーザへの役割の付与
ユーザにレビューアの役割を付与し、Dialogflow のすべての機能を使用して、
レビューアの役割のユーザができること、できないことを確認して。
[Training ] タブに移動すると、レビュー担当者ロールのユーザは、
[Training ] タブを通じてトレーニング フレーズの変更、
インテントへのトレーニング フレーズの追加、会話の削除、
インテントの一致の変更を行うことができて。
トレーニングタブ
ドキュメントによれば、レビュー担当者ロールのユーザはエージェントを
変更できないため、これは深刻な問題でしたが、自分は変更でて。
脆弱性の影響:
レビューアがインテント マッチング、トレーニング フレーズ、履歴タブからの
会話の削除を変更することで、Dialogflow プロジェクト全体の品質を
低下させる可能性があるため、これは大きな影響を与えて。
プロジェクト チームがデータを分析してエージェントを改善するには、
会話が不可欠で。
攻撃者が携帯電話などのデバイスでエージェントを使用することにより、
プロジェクトの機能を低下させることが非常に簡単になり。
これらの会話はすべて [Training ] タブで利用できるようになり、
インテント マッチングを変更したり、トレーニング フレーズを
追加したりすることができて。
レビュー担当者は [Intent ] タブからすべてのトレーニング フレーズを
表示できるため、このシナリオを使用してこれらすべてのトレーニング フレーズを
別のインテントに追加できて。
これは、ユーザーに誤った応答を与えるため、エージェントに大きな影響を
与える可能性があって。
初心者へのアドバイス:
1.ターゲットを 1 つ選択して。
2.それに時間を費やして。(1か月以上)
3.ドキュメントを何度も読んで。
Best regards, (^^ゞ