Pesquisadores em cibersegurança revelaram uma falha crítica que explora uma técnica chamada *indirect prompt injection* para atacar o Google Gemini.
A vulnerabilidade permite burlar mecanismos de autorização e usar o Google Calendar como canal para extração de dados.
Segundo Liad Eliyahu, Head de Pesquisa da Miggo Security, a brecha possibilita contornar os controles de privacidade do Google Calendar ao ocultar um payload malicioso, inativo, dentro de um convite padrão de calendário.
“Essa falha dava acesso não autorizado a dados privados de reuniões e permitia a criação de eventos falsos sem qualquer interação direta do usuário”, explicou Eliyahu em relatório obtido pelo The Hacker News.
O ataque começa quando o agente malicioso envia um convite de calendário com uma descrição que contém um comando em linguagem natural, programado para induzir a inteligência artificial Gemini a executar uma ação específica.
A ativação ocorre quando a vítima faz uma pergunta inocente ao Gemini, como “Tenho alguma reunião na terça-feira?”.
O chatbot, ao processar o prompt escondido no convite, resume todas as reuniões do usuário para um dia específico, cria um novo evento no Google Calendar contendo essas informações confidenciais e, ao mesmo tempo, retorna uma resposta aparentemente inofensiva.
“Nos bastidores, o Gemini estava criando eventos novos e preenchendo a descrição com resumos privados das reuniões do usuário”, detalhou a Miggo.
Em muitos ambientes corporativos, esses novos eventos eram visíveis ao invasor, que então podia acessar dados privados exfiltrados sem que o usuário percebesse.
Embora a vulnerabilidade já tenha sido corrigida após divulgação responsável, o incidente reforça como recursos nativos de IA podem ampliar a superfície de ataque e introduzir riscos inéditos de segurança, especialmente à medida que mais organizações adotam ferramentas de IA ou desenvolvem agentes próprios para automatizar fluxos de trabalho.
“Aplicações de IA podem ser manipuladas pela própria linguagem que processam”, ressaltou Eliyahu.
“As vulnerabilidades não estão mais restritas ao código, mas residem na linguagem, no contexto e no comportamento da IA em tempo de execução.”
Essa descoberta ocorre poucos dias depois de a Varonis detalhar o ataque Reprompt, capaz de extrair dados sensíveis de chatbots de IA como o Microsoft Copilot com um único clique, ignorando controles corporativos de segurança.
Os casos evidenciam a necessidade constante de avaliar grandes modelos de linguagem (LLMs) sob aspectos de segurança, como suscetibilidade a *hallucination*, precisão factual, viés, danos e resistência a *jailbreak*, além da proteção tradicional contra falhas.
Na semana passada, a XM Cyber, do grupo Schwarz, divulgou novas técnicas para escalar privilégios dentro do Google Cloud Vertex AI, enfatizando a importância de auditar todas as contas de serviço e identidades vinculadas a cargas de trabalho de IA.
As vulnerabilidades expostas permitem que um invasor com permissões mínimas se aproprie de Service Agents privilegiados, transformando identidades gerenciadas invisíveis em “dobros agentes” usados para escalonamento privilegiado.
A exploração dessas falhas pode permitir acesso às sessões de chat, memórias dos LLMs, dados sensíveis nos buckets de armazenamento ou até o controle total do cluster Ray.
Apesar do Google afirmar que os serviços estão “funcionando conforme o esperado”, é fundamental que as empresas revisem identidades com a função Viewer e apliquem medidas para evitar injeção não autorizada de código.
Paralelamente, foram reveladas múltiplas vulnerabilidades em sistemas de IA, como:
- Falhas (
CVE-2026-0612
,
CVE-2026-0613
,
CVE-2026-0615
e
CVE-2026-0616
) no The Librarian, assistente pessoal baseado em IA do TheLibrarian.io.
Essas falhas permitem acesso à infraestrutura interna, incluindo console administrativo e ambiente cloud, vazando informações sensíveis como metadados, processos ativos e prompts do sistema, além de possibilitar login no backend.
- Uma vulnerabilidade que demonstra como prompts de sistema podem ser extraídos de assistentes LLM baseados em intenções, induzindo-os a exibir dados em Base64 em campos de formulários.
“Se um LLM pode escrever em qualquer campo, log, banco de dados ou arquivo, cada ponto vira uma via potencial de exfiltração, independentemente das restrições da interface de chat”, alertou a empresa Praetorian.
- Um ataque com plugin malicioso em marketplace para Anthropic Claude Code, que contorna proteções *human-in-the-loop* via hooks e exfiltra arquivos do usuário por meio de *indirect prompt injection*.
- Uma vulnerabilidade crítica no Cursor (
CVE-2026-22708
) que permite execução remota de código explorando como IDEs agent-based processam comandos embutidos no shell.
“Ao abusar de comandos confiáveis como export, typeset e declare, atacantes podem manipular variáveis de ambiente para comprometer o comportamento de ferramentas legítimas”, explicou a Pillar Security.
O ataque transforma comandos aparentemente benignos em vetores para execução arbitrária.
Além disso, uma análise de segurança em cinco IDEs com agentes de codificação — Cursor, Claude Code, OpenAI Codex, Replit e Devin — identificou que, apesar de evitarem falhas comuns como SQL injection e XSS, essas ferramentas enfrentam dificuldades para lidar com problemas de SSRF, lógica de negócio e autorização adequada ao acessar APIs.
Nenhuma delas oferece proteção contra CSRF, cabeçalhos de segurança ou limitação de tentativas de login.
Essa avaliação reforça as limitações atuais das ferramentas de codificação baseadas em IA e destaca que a supervisão humana continua essencial para mitigar essas vulnerabilidades.
“Os agentes de codificação não podem ser confiáveis para projetar aplicações seguras”, afirmou Ori David, da Tenzai.
“Embora às vezes produzam códigos seguros, eles falham sistematicamente em aplicar controles críticos sem orientação explícita.
Nas áreas mais complexas — regras de negócio, autorização e decisões delicadas de segurança — erros são inevitáveis.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...