Безопасность пользователей под угрозой: Google Gemini передает и изменяет данные
Ученые по кибербезопасности раскрыли опасную уязвимость Google Gemini, угрожая данным пользователей. Чему стоит уделить внимание.
В последнем расследовании кибербезопасности эксперты продемонстрировали, как интеграция ИИ в повседневные сервисы может привести к нежелательным последствиям. В центре внимания оказался Google Gemini, который, как оказалось, мог стать каналом утечки конфиденциальной информации пользователей через Google Календарь.
Как это работает: механизм атаки хакеров
Исследователи из Miggo Security, под руководством эксперта Лиада Элиягу, продемонстрировали, как злоумышленник мог использовать обыкновенное приглашение на событие как средство для проведения атаки. Внешне такая атака выглядит совершенно безобидной: пользователь получает стандартное календарное приглашение, в составе которого нет ни подозрительных ссылок, ни явных признаков фишинга.
Также читайте: Выключатель для мозга: как постоянное использование гаджетов может ускорить развитие деменции
Однако в тексте этого приглашения находился малозаметный «спящий» вредоносный промпт на естественном языке, специально разработанный для обработки Google Gemini. Эта схема становилась активной, когда пользователь задавал ИИ вопросы о своих встречах. Например, команда «Есть ли у меня встречи во вторник?» запускала механизм, при котором Gemini, просматривая события календаря, наталкивался на внедрённый промпт.
Утечка данных из-за Google Gemini
На первый взгляд, пользователь мог видеть лишь обыденные ответы от Gemini, однако за кулисами происходило гораздо больше. В Google Календаре создавалось событие, описывающее все встречи пользователя на запрашиваемый день, и что более важно, это событие могло быть доступно отправителю исходного приглашения. Так злоумышленники получали доступ к конфиденциальным данным: кто участвует в встречах, какие вопросы обсуждаются и когда эти встречи проходят.
Но это ещё не всё. Специалисты отметили, что данная схема не ограничилась лишь расшифровкой данных. При помощи такого механизма также можно было добавить ложные события в календарь, что могло ввести пользователя в заблуждение. И всё это происходило без какого-либо вмешательства с его стороны.
Защитные меры: уязвимость устранена
Хотя уязвимость была устранена после расследования, данная ситуация ставит под сомнение безопасность традиционных онлайн-сервисов, интегрирующих искусственный интеллект. Умные технологии, задуманные для упрощения жизни пользователей, могут также стать источником новых угроз.
Эксперты по кибербезопасности настоятельно рекомендуют пользователям проявлять осторожность и внимательность при взаимодействии с любыми календарными сервисами и получать информацию только от проверенных источников. Подобные инциденты подчеркивают важность киберзащиты и необходимость постоянного мониторинга IT-инфраструктуры как на индивидуальном, так и на корпоративном уровнях.
Следя за развитием технологий, нельзя забывать о потенциальных угрозах, которые они могут принести. Тщательная бдительность и понимание угроз — ключ к безопасному использованию новейших достижений в области цифровых технологий.
Ранее на сайте «Пронедра» писали: Google дает доступ ИИ к личной информации пользователей в чатах: риски и проблемы
