Firma de securitate cibernetică Noma Security a dezvăluit pe 9 decembrie o vulnerabilitate de tip „zero-click” în Gemini Enterprise și Vertex AI Search de la Google, care permitea atacatorilor să fure date corporative sensibile prin instrucțiuni ascunse în documente partajate, invitații din calendar sau e-mailuri, fără nicio interacțiune din partea utilizatorului.
Vulnerabilitatea, denumită GeminiJack, exploata modul în care sistemele AI pentru companii interpretează informațiile prin atacuri de tip „indirect prompt injection”. Când angajații efectuau căutări de rutină în Gemini Enterprise, AI-ul recupera automat documente „otrăvite” ce conțineau comenzi ascunse și le executa în toate sursele de date conectate din Google Workspace, inclusiv Gmail, Calendar și Docs.
Atac ascuns fără semne de avertizare
Noma Labs a descoperit defectul pe 5 iunie 2025, după ce inițial a identificat vulnerabilități similare în produsul Vertex AI Search al Google. Atacul nu necesita niciun malware, niciun phishing și nu declanșa nicio alertă de prevenire a pierderii de date. Atacatorii puteau încorpora instrucțiuni în documente cu aspect normal care forțau AI-ul să caute termeni sensibili precum „achiziție,” „salariu” sau „cheie API,” apoi să exfiltreze rezultatele prin cereri de imagini externe deghizate.
„Acest tip de atac nu va fi ultimul de felul său. Reflectă o clasă în creștere de vulnerabilități native AI,” au scris cercetătorii Noma. Sasi Levi, lider al cercetării de securitate la Noma Security, a declarat reporterilor că vulnerabilitatea „reprezintă un exemplu clasic de atac prin injecție de prompt indirectă” necesitând inspectarea cuprinzătoare a tuturor surselor de date care alimentează contextul AI-ului.
Google a colaborat cu Noma Labs pentru a valida descoperirile și a implementat actualizări care modifică modul în care Gemini Enterprise și Vertex AI Search interacționează cu sistemele lor de recuperare și indexare de bază. După remediere, Vertex AI Search a fost complet separat de Gemini Enterprise și nu mai folosește aceleași capabilități de generare augmentată prin recuperare.
Îngrijorare tot mai mare cu privire la securitatea inteligenței artificiale
Divulgarea vine în contextul în care vulnerabilitățile de tip prompt injection continuă să se situeze pe primul loc ca amenințare în evaluarea riscurilor din 2025 a OWASP pentru modelele lingvistice de mari dimensiuni. Centrul Național de Securitate Cibernetică din Regatul Unit a avertizat că prompt injection ar putea fi o problemă persistentă care nu poate fi rezolvată complet, potențial mai gravă decât vulnerabilitățile SQL injection care au afectat aplicațiile web acum un deceniu.
Elad Luz, șeful cercetării la Oasis Security, a calificat descoperirea drept semnificativă datorită impactului său răspândit, lipsei de interacțiune necesară din partea utilizatorului și dificultății de detectare. Experții în securitate recomandă organizațiilor să auditeze ce surse de date pot accesa implementările lor de AI, să rotească acreditările potențial expuse și să implementeze arhitecturi zero-trust pentru agenții AI cu principii de acces cu privilegii minime.
Surse:
Hacking Google Gemini Enterprise with an Indirect Prompt Injection
GeminiJack: the google gemini zero-click vulnerability leaked gmail, calendar and docs data