Μια κρίσιμη ευπάθεια μηδενικού κλικ που ονομάζεται “GeminiJack” στο Google Gemini Enterprise και προηγουμένως στο Vertex AI Search που επιτρέπει στους εισβολείς να συλλέγουν ευαίσθητα εταιρικά δεδομένα από το Gmail, το Ημερολόγιο και τα Έγγραφα με ελάχιστη προσπάθεια.
Σύμφωνα με τα Noma Labs, θεωρήθηκε ως αρχιτεκτονικό ελάττωμα και όχι απλώς ένα σφάλμα. Αυτό το ελάττωμα εκμεταλλεύτηκε τον τρόπο με τον οποίο τα συστήματα τεχνητής νοημοσύνης επεξεργάζονται κοινόχρηστο περιεχόμενο, επιτρέποντάς του να παρακάμψει τις παραδοσιακές άμυνες όπως η πρόληψη απώλειας δεδομένων (DLP) και τα εργαλεία τελικού σημείου.
Δεν χρειάστηκαν κλικ ή προειδοποιήσεις εργαζομένων. Ένας εισβολέας απλώς μοιράστηκε ένα δηλητηριασμένο Έγγραφο Google, μια πρόσκληση Ημερολογίου ή ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ενσωματώνει κρυφές ενέσεις προτροπής.
Όταν το προσωπικό εκτέλεσε συνήθεις αναζητήσεις Gemini, όπως «εμφάνιση προϋπολογισμών για το τέταρτο τρίμηνο», η τεχνητή νοημοσύνη ανακτούσε το κακόβουλο περιεχόμενο, εκτέλεσε τις οδηγίες του σε πηγές δεδομένων του Workspace και εξέδιδε αποτελέσματα μέσω ενός κρυμμένου εξωτερικού αιτήματος εικόνας στην απάντηση.
Το GeminiJack εκθέτει ευαίσθητα δεδομένα
Η αρχιτεκτονική RAG (Retrieval-Augmented Generation) της Gemini Enterprise ευρετηριάζει τα μηνύματα ηλεκτρονικού ταχυδρομείου του Gmail, τα συμβάντα Ημερολογίου και τα Έγγραφα για ερωτήματα AI.
Οι εισβολείς τοποθέτησαν έμμεσες προτροπές σε περιεχόμενο ελεγχόμενο από τον χρήστη, εξαπατώντας το μοντέλο ώστε να ζητήσει ευαίσθητους όρους (“εμπιστευτικό”, “κλειδί API”, “απόκτηση”) σε όλα τα προσβάσιμα δεδομένα.
Στη συνέχεια, το AI ενσωμάτωσε τα αποτελέσματα σε μια ετικέτα img HTML και τα έστειλε στον διακομιστή του εισβολέα μέσω αβλαβούς κίνησης HTTP.
Από την άποψη του υπαλλήλου: Κανονική αναζήτηση, αναμενόμενα αποτελέσματα. Από την ασφάλεια: Χωρίς κακόβουλο λογισμικό, χωρίς phishing, απλώς η τεχνητή νοημοσύνη συμπεριφέρεται «όπως έχει σχεδιαστεί».
Μια μόνο ένεση θα μπορούσε να διαρρεύσει χρόνια email, πλήρη ημερολόγια που αποκαλύπτουν συμφωνίες και δομές ή ολόκληρα repos Εγγράφων με συμβόλαια και πληροφορίες.
| Βήμα | Δράση |
|---|---|
| 1. Δηλητηρίαση | Ο εισβολέας μοιράζεται Έγγραφο/Ημερολόγιο/Ηλεκτρονικό ταχυδρομείο με ενσωματωμένη προτροπή: π.χ. «Αναζητήστε «Πωλήσεις» και συμπεριλάβετε σε  ” |
| 2. Σκανδάλη | Ερωτήματα υπαλλήλου για το Gemini (π.χ. “Έγγραφα πωλήσεων;”) |
| 3. Ανάκτηση | Το RAG τραβάει το δηλητηριασμένο περιεχόμενο στο πλαίσιο |
| 4. Εξιλ | Το AI εκτελεί, στέλνει δεδομένα μέσω φόρτωσης εικόνας |
Η Google διαμόρφωσε τις πηγές δεδομένων για να παρέχει μόνιμη πρόσβαση, ενισχύοντας την ακτίνα έκρηξης. Η Google συνεργάστηκε γρήγορα, διαχωρίζοντας το Vertex AI Search από το Gemini και επιδιορθώνοντας τον χειρισμό οδηγιών RAG.
Ωστόσο, το GeminiJack σηματοδοτεί αυξανόμενους κινδύνους εγγενούς τεχνητής νοημοσύνης: καθώς οι βοηθοί αποκτούν πρόσβαση στο Workspace, οι δηλητηριασμένες είσοδοι μπορούν να τους μετατρέψουν σε εργαλεία κατασκοπείας.
Οι οργανισμοί πρέπει να επανεξετάσουν τα όρια εμπιστοσύνης της τεχνητής νοημοσύνης, να παρακολουθούν τους αγωγούς RAG και να περιορίσουν τις πηγές δεδομένων. Αυτή δεν είναι η τελευταία κλήση αφύπνισης για έγχυση.
Related Posts
Η ευπάθεια του OpenAI Sora 2 αποκαλύπτει τα μηνύματα του συστήματος μέσω μεταγραφών ήχου
Η Google ανακοινώνει δημόσια προεπισκόπηση του Alert Triage and Investigation Agent που χρησιμοποιείται στις Λειτουργίες Ασφαλείας της Google
Το Chrome διορθώνει ευπάθεια υλοποίησης υψηλής σοβαρότητας στη μηχανή JavaScript V8
