Обнаружена новая уязвимость в Google Gemini: хакеры могут использовать приглашения в календарь для внедрения вредоносных инструкций, что подчёркивает риски безопасности при интеграции генеративного ИИ в корпоративные рабочие процессы. Эксперты призывают к Zero Trust и ограничению привилегий ИИ.
Недавно обнаруженная уязвимость в Gemini от Google демонстрирует, как злоумышленники могут использовать обычные приглашения в календарь для влияния на поведение модели, что подчёркивает возникающие риски безопасности по мере того, как предприятия внедряют генеративный ИИ в повседневные рабочие процессы продуктивности и принятия решений.
Уязвимость была выявлена фирмой по безопасности приложений Miggo. В своём отчёте глава отдела исследований Miggo Лиад Элияху отметил, что Gemini анализирует полный контекст событий календаря пользователя, включая названия, время, участников и описания, что позволяет ему отвечать на вопросы о расписании пользователя на день.
«Механизм этой атаки использует именно эту интеграцию, — заявил Элияху. — Поскольку Gemini автоматически обрабатывает и интерпретирует данные о событиях, чтобы быть полезным, злоумышленник, способный влиять на поля событий, может внедрить инструкции на естественном языке, которые модель может выполнить позже»
Исследователи Miggo считают, что это открытие высвечивает более широкую проблему безопасности, с которой сталкиваются системы на базе больших языковых моделей (LLM), где атаки сосредоточены на манипулировании смыслом и контекстом, а не на использовании чётко идентифицируемого вредоносного кода.
«Эта уязвимость Gemini — не просто изолированный крайний случай, — подчеркнул Элияху. — Скорее, это наглядный пример того, как методы обнаружения не успевают за угрозами, присущими самому ИИ. Традиционные предположения AppSec (включая распознаваемые шаблоны и детерминированную логику) не совсем применимы к системам, которые оперируют языком и намерениями».
Серьёзность в сравнении с традиционными атаками
Проблема значима не потому, что она отражает традиционный программный сбой, а потому, что демонстрирует, как системы ИИ могут быть скомпрометированы способами, схожими с атаками социальной инженерии.
«Традиционно приглашение в календарь, электронное письмо или документ рассматриваются исключительно как данные, — прокомментировал аналитик по кибербезопасности Сунил Варки. — Злоумышленник должен нарушить логику кода или безопасность памяти, чтобы заставить систему „что-то сделать“, а не просто полагаться на данные».
Однако в данном случае «баг» связан не столько с дефектным кодом, сколько с тем, как LLM интерпретирует язык в контексте, в сочетании с разрешениями, которые модель имеет в подключённых приложениях, отметила Сакши Гровер, старший менеджер по исследованиям в области кибербезопасности IDC Asia Pacific.
«Это сочетание превращает обычный бизнес-объект, приглашение в календарь, в полезную нагрузку для атаки, — сказала Гровер. — Это показывает, что безопасность LLM у крупных поставщиков всё ещё отстаёт от реальных корпоративных моделей угроз, особенно в отношении косвенного внедрения промптов (indirect prompt injection), использования инструментов и обработки данных между приложениями».
Кит Прабху, основатель и генеральный директор Confidis, заявил, что, хотя выполнение этой атаки происходит через Google Gemini, по своей сути она больше напоминает технику фишинга.
«Как только пользователь принимает вредоносное приглашение, Gemini считает его доверенным и выполняет промпт, — пояснил Прабху. — В то время как остальной мир вычислений движется к модели Zero Trust, инструменты ИИ по-прежнему неявно доверяют настольным компонентам. Это может стать серьёзным недостатком, поскольку инструменты ИИ могут быть использованы не по назначению в качестве „консьержа“ для выполнения задач, которые вредоносное ПО не может выполнить напрямую».
Реальная корпоративная подверженность
Аналитики отмечают, что риск значителен в корпоративной среде, поскольку организации активно развёртывают ИИ-копилотов, подключённых к конфиденциальным системам.
«Поскольку внутренние копилоты обрабатывают данные из электронной почты, календарей, документов и инструментов для совместной работы, одна скомпрометированная учётная запись или фишинговое письмо могут незаметно внедрить вредоносные инструкции, — отметил Чандрасекар Билугу, технический директор SureShield. — Когда сотрудники выполняют рутинные запросы, модель может обработать этот манипулированный контекст и непреднамеренно раскрыть конфиденциальную информацию».
Гровер сообщила, что угрозы внедрения промптов перешли из теоретической плоскости в операционную. «В исследовании IDC в Азиатско-Тихоокеанском регионе, проведённом в августе 2025 года, предприятия в Индии назвали „внедрение промптов LLM, манипулирование моделями или обход ограничений ИИ-помощников“ второй по степени обеспокоенности ИИ-угрозой, сразу после „отравления модели или состязательных вводов во время обучения ИИ“», — добавила она.
Меры, которым следует отдать приоритет
Прабху считает, что руководители служб безопасности должны включить осведомлённость о безопасности ИИ в ежегодное обучение по информационной безопасности для всего персонала. Конечные точки также потребуется укрепить с учётом угроз, связанных с этим новым вектором атак.
Гровер советует организациям исходить из того, что атаки с внедрением промптов будут происходить, и сосредоточиться на ограничении потенциального радиуса поражения, а не на попытках полностью устранить риск. По её словам, это требует обеспечения принципа наименьших привилегий для систем ИИ, строгого ограничения разрешений инструментов, ограничения доступа к данным по умолчанию и проверки каждого действия, инициированного ИИ, на соответствие бизнес-правилам и политикам конфиденциальности.
«Цель состоит не в том, чтобы сделать модель невосприимчивой к языку, потому что таких моделей не существует, а в том, чтобы гарантировать, что даже при манипулировании она не сможет незаметно получить доступ к большему объёму данных, чем положено, или извлечь информацию через побочные каналы», — добавила Гровер.
Варки считает, что руководителям служб безопасности также следует пересмотреть подход к размещению ИИ-копилотов в своих средах, предостерегая от обращения с ними как с простыми инструментами поиска. «Применяйте принципы Zero Trust с жёсткими ограничителями: ограничьте доступ к данным до минимально необходимых привилегий, обеспечьте, чтобы недоверенный контент не мог стать доверенной инструкцией, и требуйте подтверждений для действий с высоким риском, таких как предоставление доступа, отправка или запись данных обратно в бизнес-системы», — добавил он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas