Новая атака Promptware захватывает ИИ-систему Gemini пользователя через приглашение в Google Calendar
Исследователи кибербезопасности из SafeBreach Labs обнаружили новый вид кибератаки, которая начинается с чего-то обыденного, например, приглашения в Google Календарь . По словам команды, этот метод можно использовать для взлома ИИ-агента Google Gemini, что даёт злоумышленникам возможность шпионить за пользователем, красть личные данные и даже удалённо управлять устройствами умного дома.
Исследование под названием «Приглашение — это всё, что вам нужно» было проведено Беном Насси, Ставом Коэном и Ором Яиром. В интервью Hackread.com компания SafeBreach Labs объяснила, что атака основана на новом типе угроз, известном как Promptware. Этот метод манипулирует моделью искусственного интеллекта , вставляя тщательно составленный текст или подсказки, которые обманным путём заставляют её выполнять вредоносные действия.
Команда SafeBreach разработала более продвинутую версию атаки, которую они назвали «атакой Targeted Promptware». Они продемонстрировали её работу конкретно на Gemini for Workspace. Отправив вредоносное приглашение в Google Calendar, они смогли взломать агент Gemini пользователя, причём пользователь даже не заметил этого.
Этот метод известен как «косвенное внедрение подсказок», поскольку вредоносные инструкции скрываются в чем-то, что ИИ считывает самостоятельно, например, в названии события, а не вводятся пользователем напрямую.
Чтобы продемонстрировать серьёзность уязвимости, исследователи использовали ряд методов, включая отравление контекста и автоматический вызов инструментов, для эксплуатации Gemini. Их тесты показали, насколько далеко может зайти атака после компрометации ИИ-агента.
Получив контроль над агентом Gemini, они смогли осуществить широкий спектр вредоносных действий, включая
- Украсть личные письма
- Определить местонахождение человека
- Рассылать спам и фишинговые письма
- Удалить события календаря человека
- Генерировать вредный и токсичный контент
- Включить видеокамеру человека через Zoom
Ещё более тревожно то, что атака не ограничивается интернетом. Исследователи показали, что взломанный ИИ-помощник может также получить контроль над приложениями на смартфоне пользователя, в том числе связанными с устройствами умного дома .
Исследователи также обнаружили, что злоумышленник может удалённо управлять такими устройствами, как подключенные окна, котлы и освещение. Это подтверждает, что атаки Promptware могут выходить за рамки самого Gemini и приводить к реальному физическому воздействию.
Исследователи сообщили о своих результатах в Google в феврале 2025 года. В ответ Google внедрила новые средства защиты, включая усиленную защиту конфиденциальных действий и улучшенные системы обнаружения атак с мгновенными инъекциями.
По оценкам SafeBreach Labs, 73% этих угроз относятся к категории «Высокий критический риск», и предупреждается, что другие инструменты на базе ИИ также могут быть подвержены риску. Полное исследование будет представлено на конференциях Black Hat USA и DEF CON 33.
Между тем, настоятельно рекомендуется ознакомиться с технической записью в блоге SafeBreach и семью демонстрационными видеороликами, которыми поделилась компания.
HackRead
