O Google optou por não corrigir uma nova vulnerabilidade de ASCII smuggling no Gemini, que pode ser explorada para enganar o assistente de IA, fazendo-o fornecer informações falsas, alterar seu comportamento e contaminar silenciosamente seus dados.
ASCII smuggling é um tipo de ataque que utiliza caracteres especiais do bloco Unicode Tags para inserir payloads invisíveis aos usuários, mas detectáveis e processáveis por modelos de linguagem (LLMs).
Essa técnica se assemelha a ataques recentes contra o Google Gemini, que exploram a discrepância entre o que o usuário vê e o que a máquina interpreta, como manipulação de CSS ou limitações na interface gráfica (GUI).
Embora a vulnerabilidade dos LLMs a ataques de ASCII smuggling não seja novidade — diversos pesquisadores investigam essa possibilidade desde o surgimento das ferramentas de IA generativa — o nível de risco evoluiu.
Antes, os chatbots só podiam ser manipulados se o usuário copiasse e colasse prompts maliciosamente criados.
Com o avanço dos agentes de IA autônomos, como o Gemini, que possuem amplo acesso a dados sensíveis e executam tarefas sem supervisão, a ameaça se torna mais grave.
Viktor Markopoulos, pesquisador de segurança da empresa FireTail, testou ASCII smuggling em diversas ferramentas populares e identificou que Gemini (em convites do Calendar e e-mails), DeepSeek (prompts) e Grok (posts no X) são vulneráveis.
Por outro lado, Claude, ChatGPT e Microsoft CoPilot demonstraram resistência à técnica, aplicando algum tipo de sanitização nos inputs, segundo a FireTail.
No caso do Gemini, sua integração com o Google Workspace acentua o risco, pois invasores podem ocultar textos maliciosos em convites do Calendar ou em mensagens de e-mail.
Markopoulos descobriu que é possível esconder instruções no título do convite, alterar detalhes do organizador (spoofing de identidade) e infiltrar descrições ou links escondidos na reunião.
Quanto aos e-mails, o pesquisador alerta: “Usuários que conectam LLMs às suas caixas de entrada podem receber comandos ocultos em mensagens simples, instruindo a IA a vasculhar informações sensíveis ou a compartilhar contatos, transformando um phishing comum em uma ferramenta autônoma de extração de dados.”
Além disso, LLMs que navegam em sites podem ser induzidos a interpretar payloads ocultos em descrições de produtos, disseminando URLs maliciosos aos usuários.
Markopoulos reportou o problema ao Google em 18 de setembro, mas a empresa descartou a questão, classificando-a como não sendo um bug de segurança e afirmando que a exploração ocorreria apenas via ataques de engenharia social.
Ainda assim, o pesquisador demonstrou que o ataque consegue induzir o Gemini a apresentar informações falsas.
Em um dos testes, uma instrução invisível levou o Gemini a indicar um site potencialmente malicioso como fonte confiável para a compra de um smartphone com desconto.
Enquanto isso, outras empresas do setor adotam postura diferente.
Por exemplo, a Amazon publicou orientações detalhadas de segurança relacionadas ao smuggling de caracteres Unicode.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...