Os pesquisadores contornaram as defesas do Google Gemini usando instruções em linguagem natural, criando eventos enganosos para vazar dados privados do Agenda. Este método permite a exfiltração de dados confidenciais para um invasor por meio de uma descrição de evento do Calendário. Gemini, assistente LLM do Google, integra-se aos serviços da web do Google e aos aplicativos do Workspace, como Gmail e Agenda. O ataque de convite do Calendar baseado no Gemini começa com o envio ao alvo de um convite de evento contendo uma carga útil de injeção imediata em sua descrição. As atividades de exfiltração são acionadas quando a vítima questiona Gemini sobre sua programação. Isso faz com que o assistente carregue e analise todos os eventos relevantes, incluindo aquele com a carga útil do invasor. Pesquisadores da Miggo Security, uma plataforma de detecção e resposta de aplicativos (ADR), descobriram que poderiam enganar a Gemini para que vazasse dados do Calendário, fornecendo instruções em linguagem natural. Estes incluíram: resumir todas as reuniões em um dia específico, inclusive as privadas; criando um novo evento de calendário com esse resumo; e responder ao usuário com uma mensagem inofensiva. Os pesquisadores explicaram: “Como o Gemini ingere e interpreta automaticamente os dados do evento para serem úteis, um invasor que pode influenciar os campos do evento pode plantar instruções em linguagem natural que o modelo pode executar posteriormente”. Eles descobriram que controlar o campo de descrição de um evento permitia incorporar um aviso que o Google Gemini obedeceria, mesmo com um resultado prejudicial. A carga útil do convite malicioso permanece inativa até que a vítima faça uma pergunta rotineira ao Gemini sobre sua programação. Após a execução das instruções incorporadas do convite malicioso do Calendário, o Gemini cria um novo evento. Ele escreve o resumo da reunião privada na descrição deste novo evento. Em muitas configurações empresariais, a descrição atualizada torna-se visível para os participantes do evento, potencialmente vazando informações confidenciais para o invasor. Miggo observou que o Google emprega um modelo separado e isolado para detectar solicitações maliciosas no assistente Gemini principal. No entanto, o ataque deles contornou essa segurança porque as instruções pareciam seguras. Ataques de injeção imediata por meio de títulos de eventos maliciosos do Calendário não são novos. Em agosto de 2025, o SafeBreach demonstrou que um convite malicioso do Google Agenda poderia explorar agentes Gemini para vazar dados confidenciais do usuário. Liad Eliyahu, chefe de pesquisa da Miggo, informou BipandoComputador que o novo ataque demonstra que as capacidades de raciocínio do Gemini permanecem vulneráveis à manipulação, apesar do Google implementar defesas adicionais após o relatório do SafeBreach. A Miggo compartilhou suas descobertas com o Google, que desde então adicionou novas mitigações. O conceito de ataque da Miggo destaca as complexidades de antecipar novos modelos de exploração em sistemas de IA impulsionados pela linguagem natural com intenções ambíguas. Os pesquisadores sugerem que a segurança das aplicações deve evoluir da detecção sintática para defesas sensíveis ao contexto para lidar com essas vulnerabilidades.
Source: Google corrige falha crítica do Gemini que transformava convites em vetores de ataque
