- Ricercatori scoprono una prompt injection in Gemini tramite gli inviti di Google Calendar
- Gli aggressori potevano esfiltrare dati privati dei meeting con un’interazione minima dell’utente
- La vulnerabilità è stata mitigata, riducendo il rischio di sfruttamento immediato
Alcuni ricercatori di sicurezza hanno scoperto un ulteriore metodo per sferrare attacchi di prompt injection contro l'intelligenza artificiale Gemini di Google, questa volta per esfiltrare dati sensibili da Google Calendar.
La prompt injection è un tipo di attacco in cui un malintenzionato nasconde un comando all'interno di un messaggio apparentemente innocuo. Quando la vittima chiede all'IA di analizzare il messaggio (o di utilizzarlo come input per un’operazione), l'IA finisce per eseguire il comando nascosto, assecondando le intenzioni dell'aggressore.
Fondamentalmente, la prompt injection è possibile perché le IA non sono in grado di distinguere tra l'istruzione impartita e i dati utilizzati per eseguirla.
Abuso di Gemini e Calendar
Finora, gli attacchi di prompt injection erano limitati ai messaggi di posta elettronica e all'istruzione di riassumere o leggere le e-mail. Nell'ultima ricerca, Miggo Security ha dimostrato che lo stesso può essere fatto attraverso Google Calendar.
Quando una persona crea una voce nel calendario, può invitare altri partecipanti aggiungendo il loro indirizzo e-mail. In questo scenario, un malintenzionato può creare un evento che contiene il prompt malevolo (per esfiltrare i dati del calendario) e invitare la vittima. L'invito viene quindi inviato sotto forma di e-mail, contenente i prompt. Il passaggio successivo spetta alla vittima, che istruisce la propria IA a controllare gli eventi imminenti.
L'IA analizzerà il prompt, creerà un nuovo evento nel calendario con i dettagli e aggiungerà l'attaccante, garantendogli direttamente l'accesso a informazioni sensibili.
"Questo bypass ha permesso l'accesso non autorizzato ai dati privati dei meeting e la creazione di eventi ingannevoli nel calendario senza alcuna interazione diretta dell'utente", hanno spiegato i ricercatori a The Hacker News.
"Dietro le quinte, tuttavia, Gemini ha creato un nuovo evento nel calendario e ha scritto un riepilogo completo dei meeting privati del nostro utente target nella descrizione dell'evento", ha dichiarato Miggo. "In molte configurazioni di calendari aziendali, il nuovo evento era visibile all'attaccante, permettendogli di leggere i dati privati esfiltrati senza che l'utente target dovesse compiere alcuna azione".
Miggo ha confermato che il problema è stato da allora mitigato.