Дослідники з компанії SafeBreach виявили критичну вразливість у системі штучного інтелекту Google Gemini, яка дозволяла кіберзлочинцям отримувати несанкціонований доступ до конфіденційних даних користувачів через звичайні календарні запрошення. Хоча Google вже усунула цю проблему, інцидент демонструє еволюцію методів атак на сучасні ШІ-системи та необхідність посилення захисних механізмів.
Як працює атака через ін’єкцію промптів
Виявлена вразливість базувалася на техніці prompt injection — методі маніпулювання мовними моделями через впровадження шкідливих інструкцій у користувацькі запити. У випадку з Google Gemini зловмисники використовували календарні запрошення як канал доставки шкідливого контенту до ШІ-системи.
Механізм атаки функціонував наступним чином: хакер надсилав жертві запрошення на подію в Google Calendar, у назву якої був вбудований спеціально сформований промпт. Коли користувач звертався до Gemini з питанням про майбутні події, ШІ-помічник завантажував інформацію з календаря, включаючи шкідливий вміст, і сприймав його як легітимну частину діалогу.
Спектр можливостей для кіберзлочинців
Успішна експлуатація вразливості надавала атакуючим широкі можливості для компрометації пристроїв та даних жертв. Дослідники SafeBreach продемонстрували здатність:
Витягувати конфіденційну інформацію з електронної пошти Gmail та календарних даних. Зловмисники могли отримати доступ до листування, розкладу зустрічей та інших персональних відомостей без відома користувача.
Здійснювати відстеження геолокації шляхом відкриття спеціально підготованих URL-адрес, що дозволяло визначити IP-адресу та приблизне місцезнаходження жертви.
Керувати пристроями розумного дому через інтеграцію з Google Home, включаючи освітлення, термостати та системи безпеки, створюючи потенційні ризики для фізичної безпеки.
Техніка прихованого проведення атаки
Особливу небезпеку становила можливість скритного проведення атаки. Кіберзлочинці могли надіслати серію з шести календарних запрошень, помістивши шкідливий код лише в останнє з них. Оскільки інтерфейс Google Calendar відображає тільки п’ять останніх подій, а решту приховує під кнопкою “Показати більше”, користувач не бачив підозрілої назви події.
Водночас Gemini аналізував усі події в календарі, включаючи приховані, що робило атаку практично непомітною для жертви. Такий підхід значно підвищував імовірність успішної компрометації системи без підозр з боку користувача.
Попередні інциденти та системні проблеми
Це не перший випадок виявлення вразливостей у системі Google Gemini. Місяцем раніше фахівець з інформаційної безпеки Марко Фігероа з програми bug bounty 0Din продемонстрував можливість використання Gemini для Workspace у фішингових атаках.
Дослідник показав, як зловмисники можуть створювати підроблені резюме електронних листів, які виглядають легітимними, але містять шкідливі інструкції та посилання на фішингові ресурси. Це вказує на системну проблему захисту ШІ-помічників від ін’єкцій промптів.
Реакція Google та заходи захисту
Представники Google оперативно відреагували на повідомлення про виявлену вразливість. За словами Енді Вена, старшого директора з управління продуктами безпеки Google Workspace, проблему було усунуто ще до того, як вона могла бути використана в реальних атаках.
Компанія підкреслила важливість відповідального розкриття інформації та співпраці з дослідниками безпеки для швидкого виявлення та усунення потенційних загроз.
Виявлена вразливість у Google Gemini демонструє зростаючу складність забезпечення безпеки систем штучного інтелекту. Атаки через prompt injection стають серйозною загрозою для ШІ-помічників, інтегрованих у повсякденні цифрові інструменти. Користувачам рекомендується проявляти обережність при роботі з календарними запрошеннями від невідомих відправників, регулярно оновлювати програмне забезпечення та слідкувати за новинами кібербезпеки для отримання актуальної інформації про нові типи загроз.
