Исследователи компании Miggo Security продемонстрировали необычный вектор атаки на ИИ-ассистент Google Gemini: для обхода его защит от prompt-инъекций достаточно отправить жертве обычное приглашение в Google Calendar с заранее подготовленным описанием события. Такая схема позволяла добиваться утечки приватных данных без какого-либо вредоносного ПО на устройстве пользователя.
Как работает prompt-инъекция через Google Calendar
В основе атаки лежит уязвимость в том, как Google Gemini взаимодействует с календарём пользователя. Когда человек просит ассистента, например, «покажи мои встречи на сегодня», модель автоматически загружает и анализирует все события в календаре, включая те, которые были получены во входящих приглашениях.
Механика скрытых инструкций в описании события
Злоумышленник отправляет приглашение на встречу, где в поле описания размещает prompt-инъекцию — текст на естественном языке, замаскированный под обычную заметку или комментарий. При обработке расписания Google Gemini считывает это описание и, как установили исследователи, способен воспринять его как инструкции к выполнению.
Эксперты Miggo Security показали, что можно сформулировать цепочку команд так, чтобы ИИ:
— собрал информацию обо всех встречах за конкретный день, включая приватные;
— создал новое событие в календаре, автоматически вставив туда собранные данные в описание;
— выдал пользователю безобидный ответ, не раскрывая, что выполнил скрытые инструкции.
Таким образом, описание одного события становилось каналом управления моделью и триггером для утечки данных.
Почему защита Google Gemini не сработала
По данным Miggo Security, Google применяет отдельную, изолированную модель для фильтрации вредоносных промптов и предотвращения прямых prompt-инъекций. Однако в данном случае защита была обойдена, поскольку инструкции в календарном событии выглядели как легитимные действия: работа с расписанием, создание события, ответ пользователю.
Ограничения синтаксического детектирования угроз
Исследователи обращают внимание, что классические фильтры, ориентированные на «подозрительный синтаксис» или явные маркеры вредоносного поведения, часто бессильны против семантически нейтральных инструкций. Текст, который просит «собрать и структурировать встречи за день», сам по себе не выглядит злонамеренным, хотя в контексте автоматических действий ИИ ведёт к утечке.
Подобная проблема характерна для многих современных LLM-систем: модель одновременно выступает и исполнителем инструкций, и интерпретатором данных. Если данные (в данном случае описание события) содержат инструкции, граница между «контентом» и «командой» размывается.
Риски для корпоративных пользователей и утечки конфиденциальных данных
Особую опасность продемонстрированная атака представляет для корпоративных сред, где календари активно используются для планирования встреч, обсуждения проектов и согласования стратегических решений. В ряде организаций описание события по умолчанию доступно всем участникам встречи.
Когда Google Gemini, следуя скрытым инструкциям, создаёт новое событие с встроенными в описание конфиденциальными сведениями (темы переговоров, список участников, внутренние коды проектов и т.п.), эти данные автоматически становятся видимыми другим пользователям. Злоумышленнику достаточно иметь доступ к одному общему событию или приглашению, чтобы получить чувствительную корпоративную информацию.
Стоит отметить, что это не первый пример эксплуатации Google Calendar как канала для атак на Google Gemini. Ещё в августе 2025 года специалисты SafeBreach демонстрировали, что вредоносное приглашение может использоваться для удалённого управления агентами Gemini на устройстве жертвы и кражи пользовательских данных, что подтверждает системный характер проблемы.
Ответ Google и рекомендации исследователей
Представители Google заявляют, что для противодействия prompt-инъекциям применяется многоуровневая стратегия безопасности. Один из ключевых механизмов — запрос явного подтверждения от пользователя перед созданием новых событий в календаре. Это должно снизить риск автоматического выполнения скрытых инструкций и последующих утечек данных.
Однако Miggo Security рекомендует индустрии в целом смещать фокус с синтаксического обнаружения вредоносных промптов к контекстно-ориентированной защите. Речь идёт о том, чтобы оценивать не только формулировку запроса, но и:
— источник данных (внешнее приглашение, общий документ, письмо);
— контекст действий (какие операции с данными запрашиваются);
— потенциальный ущерб от выполнения инструкции (доступ к приватным встречам, файлам, контактам).
Сопоставление этих факторов позволяет выстраивать более зрелую модель угроз для ИИ-ассистентов и снижать вероятность успешных атак даже при использовании естественного языка без явных признаков вредоносности.
Как организациям повысить безопасность ИИ-ассистентов
С учётом описанного кейса компаниям, внедряющим ИИ-ассистентов и агенты на базе LLM, целесообразно пересмотреть модель доступа к данным и внутренние политики безопасности. Практически полезными мерами могут быть:
— жёсткое ограничение прав ИИ на создание и изменение событий в календарях по умолчанию;
— разделение рабочих и личных календарей, списков задач и других источников данных;
— аудит и журналирование действий ИИ-агентов (какие данные запрашиваются, какие события создаются);
— обучение сотрудников рискам prompt-инъекций, включая атаки через привычные сервисы — почту, календарь, документы.
Кейс с Google Gemini и Google Calendar наглядно показывает, что в эпоху ИИ любой пользовательский ввод или внешнее событие может стать вектором атаки, даже если выглядит как обычное приглашение на встречу. Разработка и внедрение контекстно-ориентированных механизмов защиты, пересмотр прав ИИ-агентов и регулярное тестирование на prompt-инъекции (по аналогии с пентестами) становятся необходимыми элементами современной кибербезопасности. Организациям имеет смысл уже сейчас включать подобные сценарии в свои программы управления рисками и обучения персонала.
