Специалисты по кибербезопасности из компании SafeBreach выявили серьезную уязвимость в системе искусственного интеллекта Google Gemini, которая позволяла злоумышленникам получать несанкционированный доступ к персональным данным пользователей через обычные календарные приглашения. Данная проблема уже устранена разработчиками Google, однако инцидент демонстрирует новые векторы атак на современные ИИ-системы.
Механизм атаки через prompt injection
Обнаруженная уязвимость базировалась на технике prompt injection — методе манипулирования языковыми моделями путем внедрения вредоносных инструкций в пользовательские запросы. В случае с Google Gemini атакующие использовали календарные приглашения как векторы доставки вредоносного контента.
Процесс атаки выглядел следующим образом: злоумышленник отправлял жертве приглашение на событие в Google Calendar, в название которого был встроен специально сформированный промпт. Когда пользователь обращался к Gemini с запросом о предстоящих событиях, ИИ-помощник загружал информацию из календаря, включая вредоносное содержимое, и воспринимал его как легитимную часть диалога.
Возможности злоумышленников
Успешная эксплуатация уязвимости предоставляла атакующим широкий спектр возможностей для компрометации устройства жертвы. Исследователи SafeBreach продемонстрировали способность:
Извлекать конфиденциальную информацию из электронной почты Gmail и календарных данных пользователя. Злоумышленники могли получить доступ к переписке, расписанию встреч и другим персональным сведениям.
Отслеживать геолокацию путем открытия специально подготовленных URL-адресов, что позволяло определить IP-адрес и приблизительное местоположение жертвы.
Управлять устройствами умного дома через интеграцию с Google Home, включая освещение, термостаты и системы безопасности.
Инициировать видеозвонки в Zoom и других приложениях, а также запускать различные программы на Android-устройствах без ведома пользователя.
Техника сокрытия атаки
Особую опасность представляла возможность скрытого проведения атаки. Злоумышленники могли отправить серию из шести календарных приглашений, поместив вредоносный код только в последнее из них. Поскольку интерфейс Google Calendar отображает лишь пять последних событий, а остальные скрывает под кнопкой «Показать больше», пользователь не видел подозрительного названия события.
При этом Gemini анализировал все события в календаре, включая скрытые, что делало атаку практически незаметной для жертвы. Такой подход значительно повышал вероятность успешной компрометации системы.
Предыдущие инциденты с Gemini
Это не первый случай обнаружения уязвимостей в системе Google Gemini. Месяцем ранее специалист по информационной безопасности Марко Фигероа из программы bug bounty 0Din продемонстрировал возможность использования Gemini для Workspace в фишинговых атаках.
Исследователь показал, как злоумышленники могут создавать поддельные резюме электронных писем, которые выглядят легитимными, но содержат вредоносные инструкции и ссылки на фишинговые ресурсы. Это указывает на системную проблему защиты ИИ-помощников от инъекций промптов.
Реакция Google и меры защиты
Представители Google оперативно отреагировали на сообщение о найденной уязвимости. По словам Энди Вена, старшего директора по управлению продуктами безопасности Google Workspace, проблема была устранена еще до того, как могла быть использована в реальных атаках.
Компания подчеркнула важность ответственного раскрытия информации и сотрудничества с исследователями безопасности. Проведенное исследование помогло Google лучше понять новые векторы атак и ускорить внедрение дополнительных защитных механизмов.
Обнаруженная уязвимость в Google Gemini демонстрирует растущую сложность обеспечения безопасности систем искусственного интеллекта. Атаки через prompt injection становятся серьезной угрозой для ИИ-помощников, интегрированных в повседневные цифровые инструменты. Пользователям рекомендуется проявлять осторожность при работе с календарными приглашениями от неизвестных отправителей и регулярно обновлять программное обеспечение для получения последних исправлений безопасности.
