Tutkijat ohittivat Google Geminin puolustuksen käyttämällä luonnollisen kielen ohjeita ja loivat harhaanjohtavia tapahtumia yksityisten kalenteritietojen vuotamiseksi. Tämä menetelmä mahdollistaa arkaluontoisten tietojen suodattamisen hyökkääjälle kalenteritapahtuman kuvauksen avulla. Gemini, Googlen LLM-avustaja, integroituu Googlen verkkopalveluihin ja Workspace-sovelluksiin, kuten Gmailiin ja Kalenteriin. Gemini-pohjainen kalenterikutsuhyökkäys alkaa lähettämällä kohteelle tapahtumakutsu, joka sisältää kuvauksessaan pikaruiskutushyötykuorman. Uhritoiminta käynnistyy, kun uhri kysyy Kaksosilta heidän aikataulustaan. Tämä saa avustajan lataamaan ja jäsentämään kaikki asiaankuuluvat tapahtumat, mukaan lukien ne, joissa on hyökkääjän hyötykuorma. Application Detection & Response (ADR) -alustan Miggo Securityn tutkijat havaitsivat, että he voisivat huijata Geminiä vuotamaan kalenteritietoja antamalla luonnollisen kielen ohjeita. Näitä olivat: yhteenveto kaikista tietyn päivän kokouksista, mukaan lukien yksityiset; luodaan uusi kalenteritapahtuma kyseisellä yhteenvedolla; ja vastaaminen käyttäjälle vaarattomalla viestillä. Tutkijat selittivät: ”Koska Gemini kerää ja tulkitsee tapahtumatietoja automaattisesti hyödylliseksi, hyökkääjä, joka voi vaikuttaa tapahtumakenttiin, voi istuttaa luonnollisen kielen ohjeita, jotka malli saattaa myöhemmin suorittaa.” He havaitsivat, että tapahtuman kuvauskentän ohjaaminen mahdollisti kehotteen upottamisen, jota Google Gemini totteli, vaikka lopputulos olisi haitallinen. Haitallisen kutsun hyötykuorma pysyy lepotilassa, kunnes uhri kysyy Kaksosilta rutiinikysymyksen heidän aikataulustaan. Suoritettuaan haitallisen kalenterikutsun upotetut ohjeet Gemini luo uuden tapahtuman. Se kirjoittaa yksityisen kokouksen yhteenvedon tämän uuden tapahtuman kuvaukseen. Monissa yritysasetuksissa päivitetty kuvaus näkyy tapahtuman osallistujille, mikä saattaa vuotaa arkaluontoisia tietoja hyökkääjälle. Miggo huomautti, että Google käyttää erillistä, eristettyä mallia haitallisten kehotteiden havaitsemiseen ensisijaisessa Gemini-avustajassa. Heidän hyökkäyksensä ohitti kuitenkin tämän vikasuojan, koska ohjeet vaikuttivat turvallisilta. Nopeat injektiohyökkäykset haitallisten kalenteritapahtumien otsikoiden kautta eivät ole uusia. Elokuussa 2025 SafeBreach osoitti, että haitallinen Google-kalenterikutsu voisi käyttää Gemini-agentteja arkaluonteisten käyttäjätietojen vuotamiseen. Miggon tutkimuspäällikkö Liad Eliyahu kertoi BleepingComputer että uusi hyökkäys osoittaa, että Geminin päättelykyky on edelleen alttiina manipulaatiolle, vaikka Google on ottanut käyttöön lisäpuolustuksia SafeBreachin raportin jälkeen. Miggo jakoi havainnot Googlelle, joka on sittemmin lisännyt uusia lievennyksiä. Miggon hyökkäyskonsepti korostaa monimutkaisuutta ennakoida uusia hyödyntämismalleja tekoälyjärjestelmissä, jotka perustuvat luonnolliseen kielen moniselitteiseen tarkoitukseen. Tutkijat ehdottavat, että sovellusten tietoturvan on kehitettävä syntaktisesta havaitsemisesta kontekstitietoiseen suojaukseen näiden haavoittuvuuksien korjaamiseksi.
Source: Google korjaa kriittisen Gemini-virheen, joka muutti kutsut hyökkäysvektoreiksi
