Команда Tenable оприлюднила технічні деталі трьох уже виправлених уразливостей в ІІ‑платформі Google Gemini, об’єднаних під назвою Gemini Trifecta. Експлуатація цих помилок дозволяла обманювати модель через ін’єкцію інструкцій та ініціювати несанкціонований доступ до даних, їх ексфільтрацію й дії з хмарними ресурсами.
Що таке Gemini Trifecta і чому prompt‑інжекти небезпечні для LLM
Уразливості торкалися трьох компонентів екосистеми: Gemini Cloud Assist, Gemini Search Personalization та Gemini Browsing Tool. Спільний знаменник — ін’єкція інструкцій у недовірені дані (prompt/search/browsing injection), коли модель сприймає ворожий текст не як контент, а як команду. У результаті відкриваються канали витоку конфіденційної інформації та зловживання привілеями вбудованих інструментів.
Як працювали атаки: механізми та ланцюги експлуатації
Prompt‑інжект у Gemini Cloud Assist
Інструмент, що узагальнює «сирі» журнали подій, можна було ввести в оману прихованою інструкцією в полях на кшталт User‑Agent HTTP‑запитів до сервісів на зразок Cloud Functions, Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Monitoring API, Recommender API. Ризик посилювався наданими Gemini правами на звернення до Cloud Asset API: шкідливі підказки змушували модель інвентаризувати ресурси, виявляти помилки в IAM‑конфігураціях і вбудовувати отримані дані у сформовані посилання чи запити.
Інжекти в Gemini Search Personalization
Маніпуляції історією пошуку Chrome на боці жертви через JavaScript дозволяли впроваджувати підказки, що модель сприймала як легітимні. Так зловмисник отримував контроль над персоналізацією, а також потенційно — доступ до збережених даних користувача і відомостей про геолокацію.
Непрямий prompt‑інжект через Gemini Browsing Tool
Розмістивши прихований промпт на вебсторінці, нападник змушував модель виконувати інструкції під час внутрішнього виклику функції сумаризації контенту. Це створювало можливість непомітної ексфільтрації приватних даних користувача на зовнішній сервер — навіть без рендерингу посилань чи зображень: витік відбувався як частина сформованого запиту.
Наслідки для конфіденційності та хмарної інфраструктури
Сценарії Gemini Trifecta підсвічують системний ризик інтеграції LLM із хмарними API та персональними даними. Коли моделі делегують операційні привілеї — від інвентаризації ресурсів до доступу до історій дій та геоданих — будь‑яка ін’єкція інструкцій перетворюється на вектор прямого впливу на середовище.
Такий клас загроз узгоджується з рекомендаціями OWASP Top 10 for LLM Applications і NIST AI RMF, які наголошують на необхідності ізоляції джерел даних, мінімізації привілеїв, контролю вихідного трафіку та постійного моніторингу дій агентів. На практиці це означає, що один надмірний дозвіл у IAM може непомітно перетворити LLM‑агента на «ворота» до інвентаризації проєкту та витоку конфігурацій.
Дії Google і практичні заходи захисту для ІІ‑інтеграцій
Після повідомлення дослідників Google відключила рендеринг гіперпосилань у відповідях під час сумаризації логів і додала додаткові запобіжники проти ін’єкцій. Уразливості закрито, але кейс показовий: без багатошарових guardrails LLM легко стає інструментом атаки.
Мінімізація привілеїв (IAM): надавайте LLM лише необхідні ролі до хмарних API, сегментуйте повноваження й використовуйте короткоживучі токени з прив’язкою до контексту.
Санітизація та ізоляція контенту: розділяйте дані та інструкції, застосовуйте шаблонізацію підказок, allowlist дій і політики контексту для інструментів.
Контроль egress‑трафіку: фільтруйте вихідні звернення агентів, обмежуйте дозволені домени та блокуйте передачу секретів за сигнатурами.
Людина в контурі: вимагайте підтвердження користувачем або адміністратором для критичних операцій і генерації зовнішніх запитів/посилань.
Моніторинг та журналювання: фіксуйте виклики інструментів і API від імені LLM, використовуйте DLP‑політики та детектування аномалій.
LLM red teaming: регулярно перевіряйте захист проти prompt/search/browsing‑інжектів і непрямих атак через ворожий контент.
Gemini Trifecta нагадує: ІІ може бути не лише ціллю, а й важелем атаки. Організаціям варто оновити моделі загроз для ІІ‑сервісів, переглянути IAM‑конфігурації та впровадити строгі guardrails і egress‑політики. Це скоротить площу атаки, знизить ризик ексфільтрації та не допустить зловживання привілеями в хмарі. Почніть з аудиту прав доступу LLM‑агентів і тестів на ін’єкції — це найшвидший шлях підвищити стійкість без зупинки інновацій.
