Исследователи Tenable опубликовали технические детали трех уже закрытых уязвимостей в ИИ‑платформе Google Gemini, получивших объединенное название Gemini Trifecta. Эксплуатация этих ошибок позволяла злоумышленникам обмануть модель и инициировать несанкционированный доступ к данным, утечки и действия с облачными ресурсами.
Что такое Gemini Trifecta и почему это важно для безопасности ИИ
Gemini Trifecta затрагивала три компонента экосистемы: Gemini Cloud Assist, Gemini Search Personalization и Gemini Browsing Tool. Общая черта всех проблем — инъекция инструкций в недоверенные входные данные (prompt/search injection): модель ошибочно трактовала подсунутый текст как управляющие команды, а не как контент, что открывало путь к эксфильтрации приватной информации и злоупотреблению привилегиями интегрированных инструментов.
Ключевые уязвимости: механизмы и векторы атаки
Промпт‑инжект в Gemini Cloud Assist
По данным Tenable, инструмент, суммирующий журналы событий из «сырых» логов, мог быть обманут скрытой инструкцией, спрятанной, в частности, в заголовке User‑Agent HTTP‑запросов к облачным сервисам (например, Cloud Functions, Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Monitoring API, Recommender API). Риск усугублялся тем, что у Gemini имелись права на запрос облачных ресурсов через Cloud Asset API: вредоносные подсказки могли вынудить модель собирать сведения о ресурсах или ошибках конфигурации IAM и «зашивать» их в формируемые ссылки или запросы.
Поисковые инжекты в Gemini Search Personalization
Эта уязвимость позволяла внедрять подсказки через манипуляции историей поиска Chrome на стороне жертвы с помощью JavaScript. Модель не отличала легитимные запросы пользователя от внедренных извне, что давало злоумышленнику контроль над поведением персонализации и могло приводить к утечке сохраненных пользовательских данных и сведений о местоположении.
Косвенный промпт‑инжект через Gemini Browsing Tool
Злоумышленник размещал на своей странице скрытый промпт. Когда Gemini вызывал внутреннюю функцию суммирования содержимого веб‑страницы, модель исполняла внедренные инструкции и могла передать части приватных данных пользователя на внешний сервер. Примечательно, что для эксфильтрации не требовалась отрисовка ссылок или изображений — данные «уезжали» как часть сформированного запроса.
Влияние на конфиденциальность и облачную инфраструктуру
Сценарии Gemini Trifecta демонстрируют системный риск интеграции LLM с облачными API и персональными данными. Когда модель получает операционные привилегии (запросы к инвентарю ресурсов, доступ к истории действий или геоданным), любая инъекция инструкций превращается в вектор непосредственного воздействия на окружение. Это согласуется с известным классом угроз prompt injection и supply chain‑рисков для LLM, выделяемых в отраслевых инициативах по безопасной разработке ИИ (например, OWASP Top 10 for LLM Applications, NIST AI RMF).
Меры Google и практические рекомендации по защите
После уведомления исследователей Google отключила рендеринг гиперссылок в ответах при суммаризации логов и внедрила дополнительные защитные механизмы против промпт‑инжектов. Уязвимости закрыты, однако кейс подчеркивает необходимость многоуровневой защиты при внедрении ИИ в облачные воркфлоу.
Рекомендуемые меры для организаций:
— Принцип наименьших привилегий для ИИ‑инструментов: минимизируйте IAM‑доступ LLM к облачным API и ресурсам, сегментируйте роли и используйте временные токены.
— Санитизация и изоляция входных данных: отделяйте контент от инструкций, применяйте allowlist действий, шаблонизацию подсказок и контекстные политики.
— Политики egress‑контроля: фильтруйте исходящий трафик ИИ‑агентов, ограничивайте домены и блокируйте передачу секретов по шаблонам.
— Человеко‑в‑контуре и подтверждение критических операций: запрет на автоматическое выполнение ссылок/запросов без верификации.
— Непрерывный мониторинг и журналирование: фиксируйте вызовы инструментов/API со стороны LLM, используйте DLP‑правила и детектирование отклонений.
— Red teaming для LLM: регулярно тестируйте защиту против prompt/search/browsing‑инжектов и косвенных атак через контент противника.
Случай Gemini Trifecta наглядно показывает: ИИ способен быть не только целью атаки, но и ее инструментом. Организациям стоит пересмотреть модели угроз для своих ИИ‑интеграций, обновить IAM‑конфигурации и внедрить строгие guardrails, чтобы снизить риск эксфильтрации и злоупотребления привилегиями в облаке.
