Google сообщила, что не будет выпускать исправления для техники ASCII smuggling в Gemini. Этот подход позволяет внедрять невидимые для человека сообщения с помощью специальных символов из блока Unicode Tags, которые корректно «считываются» языковыми моделями. Эксперты предупреждают: прием может использоваться для обмана ассистента, изменения его поведения и скрытого отравления данных, что особенно критично в интеграциях с корпоративными системами.
ASCII smuggling: как работает атака на LLM
Суть приема — в расхождении между тем, что видит пользователь, и тем, как входные данные интерпретирует модель. Символы из диапазона Unicode Tags позволяют «упаковать» полезную нагрузку так, что она не отображается в интерфейсе, но остается доступной для обработки LLM. По эффекту это близко к другим техникам сокрытия инструкций (например, через CSS или обходы UI-ограничений) и относится к семейству prompt injection (см. OWASP Top 10 for LLM: LLM01).
Результаты тестов FireTail: какие модели уязвимы
Исследователь Виктор Маркопулос (FireTail) проверил ASCII smuggling на популярных моделях. По его данным, атаке подвержены Gemini (через письма и приглашения в Календаре), DeepSeek (через промпты) и Grok (через посты в X). При этом Claude, ChatGPT и Microsoft Copilot показали лучшую устойчивость благодаря реализованной очистке входных данных (input sanitization).
Интеграции с Google Workspace: почта и календарь как вектор
Скрытые инструкции в приглашениях и письмах
Особую озабоченность вызывает связка Gemini с Google Workspace. Невидимые инструкции можно внедрять в тему или описание календарного приглашения и в тело письма. По оценке исследователя, таким образом удается подменять сведения об организаторе, встраивать скрытые описания встречи и ссылки, на которые ассистент ориентируется при ответах.
От социальной инженерии к автономному сбору данных
Если LLM имеет доступ к почтовому ящику, достаточно отправить письмо со скрытыми командами — модель может начать искать конфиденциальные сообщения или пересылать контакты. Это превращает традиционный фишинг в инструмент частично автоматизированного сбора данных и повышает вероятность развития инцидента без активного участия пользователя.
Практический пример: подмена рекомендаций пользователю
В демонстрации FireTail невидимая инструкция заставила Gemini рекомендовать «выгодный» сайт для покупки смартфона — фактически перенаправляя жертву на потенциально вредоносный ресурс. Подобные сценарии компрометируют доверие к рекомендациям ассистента и создают риск для пользователей, полагающихся на выводы модели в повседневной работе.
Позиция Google и реакция индустрии
Маркопулос сообщил о проблеме в Google 18 сентября 2025 года, однако компания отклонила отчет, посчитав, что речь не об уязвимости как таковой, а о варианте социальной инженерии. Такой подход отражает дискуссию в отрасли о границах ответственности поставщика LLM между механизмами защиты и пользовательскими сценариями.
Другие игроки рынка трактуют риск шире. Amazon публиковала практические рекомендации по «контрабанде» Unicode-символов, подчеркивая важность санитарной обработки входных данных, нормализации текста и удаления опасных управляющих кодов. В целом индустрия движется к «безопасности по умолчанию» для LLM-интеграций.
Как защищаться: меры для разработчиков и организаций
Санитария входных данных: удаление символов из блока Unicode Tags, нулевой ширины и управляющих Bidi-кодов (категория Cf); строгие allow-list политики для допустимых символов в полях письма/календаря.
Нормализация и каноникализация: приведение текста к согласованной форме (например, NFC) плюс явная фильтрация скрытых и форматирующих символов; логирование обнаруженных аномалий.
Контекстная изоляция: жесткое разграничение доверенных и недоверенных источников данных для LLM, отключение или ограничение автодействий (чтение/пересылка писем, доступ к контактам) без подтверждения пользователя.
Отображение «невидимого»: использование валидаторов UI, которые подсвечивают скрытые символы в критичных полях (тема письма, описание событий), а также проверка ссылок и доменов с помощью безопасного браузинга.
Мониторинг и тестирование: внедрение тестов на prompt injection и Unicode smuggling в CI/CD, обучение SOC-аналитиков распознавать инциденты, связанные с LLM.
Техника ASCII smuggling подчеркивает системный разрыв между человеческим интерфейсом и машинной интерпретацией текста. Пока Google не видит в этом уязвимости, организациям стоит действовать превентивно: включить фильтрацию Unicode по умолчанию, ограничить полномочия ассистентов, изолировать источники данных и внедрить проверку ссылок. Чем раньше такие меры станут стандартом для LLM-интеграций, тем ниже будет риск успешных атак на почту, календари и прочие бизнес-процессы.
