Исследователи обошли защиту Google Gemini, используя инструкции на естественном языке, создав вводящие в заблуждение события, которые привели к утечке личных данных Календаря. Этот метод позволяет злоумышленнику получить конфиденциальные данные через описание событий календаря. Gemini, помощник LLM от Google, интегрируется с веб-службами Google и приложениями Workspace, такими как Gmail и Календарь. Атака с приглашением на календарь Gemini начинается с отправки цели приглашения на мероприятие, содержащего в своем описании полезную нагрузку для быстрого внедрения. Действия по эксфильтрации начинаются, когда жертва спрашивает Близнецов об их графике. Это заставляет помощника загружать и анализировать все соответствующие события, включая событие с полезной нагрузкой злоумышленника. Исследователи из Miggo Security, платформы обнаружения и реагирования приложений (ADR), обнаружили, что они могут обмануть Gemini и заставить их утечь данные календаря, предоставив инструкции на естественном языке. К ним относились: подведение итогов всех встреч в определенный день, в том числе закрытых; создание нового события календаря с этим резюме; и ответ пользователю безобидным сообщением. Исследователи объяснили: «Поскольку Gemini автоматически принимает и интерпретирует данные о событиях, чтобы быть полезными, злоумышленник, который может влиять на поля событий, может внедрить инструкции на естественном языке, которые модель может позже выполнить». Они обнаружили, что управление полем описания события позволяет встроить подсказку, которой Google Gemini будет подчиняться, даже с вредным результатом. Полезная нагрузка вредоносного приглашения остается бездействующей до тех пор, пока жертва не задаст Gemini обычный вопрос об их расписании. После выполнения встроенных инструкций из вредоносного приглашения Календаря Gemini создает новое событие. Он записывает сводку частной встречи в описание нового события. Во многих корпоративных настройках обновленное описание становится видимым для участников мероприятия, что может привести к утечке конфиденциальной информации злоумышленнику. Мигго отметил, что Google использует отдельную изолированную модель для обнаружения вредоносных запросов в основном помощнике Gemini. Однако их атака обошла эту защиту, поскольку инструкции казались безопасными. Атаки с быстрым внедрением через вредоносные заголовки событий календаря не новы. В августе 2025 года SafeBreach продемонстрировала, что вредоносное приглашение в Календарь Google может использовать агентов Gemini для утечки конфиденциальных пользовательских данных. Об этом сообщил Лиад Элиягу, руководитель исследовательского отдела Miggo. ПипКомпьютер что новая атака демонстрирует, что способность рассуждения Gemini остается уязвимой для манипуляций, несмотря на то, что Google внедрила дополнительную защиту после отчета SafeBreach. Miggo поделилась своими выводами с Google, который с тех пор добавил новые средства защиты. Концепция атаки Miggo подчеркивает сложность прогнозирования новых моделей эксплуатации в системах искусственного интеллекта, управляемых естественным языком, с неоднозначными намерениями. Исследователи предполагают, что безопасность приложений должна развиваться от синтаксического обнаружения к контекстно-зависимой защите для устранения этих уязвимостей.
Source: Google исправляет критическую ошибку Gemini, которая превращала приглашения в векторы атак
