I ricercatori hanno aggirato le difese di Google Gemini utilizzando istruzioni in linguaggio naturale, creando eventi fuorvianti per far trapelare dati privati del calendario. Questo metodo consente l'esfiltrazione di dati sensibili a un utente malintenzionato tramite la descrizione di un evento del calendario. Gemini, l'assistente LLM di Google, si integra con i servizi Web di Google e le app Workspace come Gmail e Calendar. L'attacco di invito al calendario basato su Gemini inizia con l'invio a un bersaglio di un invito a un evento contenente un payload di prompt-injection nella sua descrizione. Le attività di esfiltrazione si attivano quando la vittima interroga Gemini sul proprio programma. Ciò fa sì che l'assistente carichi e analizzi tutti gli eventi rilevanti, incluso quello con il payload dell'aggressore. I ricercatori di Miggo Security, una piattaforma ADR (Application Detection & Response), hanno scoperto di poter ingannare Gemini inducendolo a divulgare i dati del calendario fornendo istruzioni in linguaggio naturale. Questi includevano: riassumere tutti gli incontri in un giorno specifico, compresi quelli privati; creare un nuovo evento del calendario con quel riepilogo; e rispondere all'utente con un messaggio innocuo. I ricercatori hanno spiegato: “Poiché Gemini inserisce e interpreta automaticamente i dati degli eventi per essere utili, un utente malintenzionato che può influenzare i campi degli eventi può inserire istruzioni in linguaggio naturale che il modello potrebbe successivamente eseguire”. Hanno scoperto che il controllo del campo della descrizione di un evento consentiva di incorporare un messaggio a cui Google Gemini avrebbe obbedito, anche con un risultato dannoso. Il carico utile dell'invito dannoso rimane inattivo finché la vittima non pone a Gemini una domanda di routine sul proprio programma. Dopo l'esecuzione delle istruzioni incorporate dall'invito dannoso del calendario, Gemini crea un nuovo evento. Scrive il riepilogo della riunione privata nella descrizione del nuovo evento. In molti contesti aziendali, la descrizione aggiornata diventa visibile ai partecipanti all'evento, potenzialmente divulgando informazioni sensibili all'aggressore. Miggo ha notato che Google utilizza un modello separato e isolato per rilevare istruzioni dannose nell'assistente Gemini principale. Tuttavia, il loro attacco ha aggirato questo sistema di sicurezza perché le istruzioni sembravano sicure. Gli attacchi di tipo prompt injection tramite titoli di eventi di calendario dannosi non sono una novità. Nell'agosto 2025, SafeBreach ha dimostrato che un invito dannoso di Google Calendar poteva sfruttare gli agenti Gemini per divulgare dati sensibili degli utenti. Lo ha riferito Liad Eliyahu, responsabile delle ricerche di Miggo Computer che dorme che il nuovo attacco dimostra che le capacità di ragionamento di Gemini rimangono vulnerabili alla manipolazione nonostante Google abbia implementato ulteriori difese dopo il rapporto di SafeBreach. Miggo ha condiviso i suoi risultati con Google, che da allora ha aggiunto nuove mitigazioni. Il concetto di attacco di Miggo evidenzia la complessità di anticipare nuovi modelli di sfruttamento nei sistemi di intelligenza artificiale guidati dal linguaggio naturale con intenti ambigui. I ricercatori suggeriscono che la sicurezza delle applicazioni deve evolversi dal rilevamento sintattico a difese sensibili al contesto per affrontare queste vulnerabilità.
Credito immagine in primo piano
Source: Google corregge il difetto critico di Gemini che ha trasformato gli inviti in vettori di attacco
