Pesquisadores em cibersegurança revelaram três vulnerabilidades, agora corrigidas, que afetavam o assistente de inteligência artificial (AI) Gemini, do Google.
Caso explorados com sucesso, esses problemas poderiam ter exposto usuários a sérios riscos de privacidade e roubo de dados.
Segundo Liv Matan, pesquisadora da Tenable, essas falhas tornavam o Gemini suscetível a ataques de search injection no Search Personalization Model, ataques de log-to-prompt injection contra o Gemini Cloud Assist, e exfiltração de informações salvas dos usuários e dados de localização por meio da ferramenta Gemini Browsing.
O relatório detalhado foi compartilhado com o site The Hacker News.
A empresa de segurança batizou o conjunto dessas vulnerabilidades de Gemini Trifecta.
Elas afetam três componentes distintos da suíte Gemini:
1. Uma falha de prompt injection no Gemini Cloud Assist que possibilitava a exploração dos serviços baseados em nuvem.
Isso ocorria porque a ferramenta resumia logs diretamente de dados brutos, permitindo que invasores ocultassem comandos maliciosos dentro do cabeçalho User-Agent em requisições HTTP para funções na nuvem, como Cloud Run, App Engine, Compute Engine, entre outros serviços do Google Cloud.
2. Um problema de search injection no modelo de Personalização de Busca (Search Personalization) do Gemini.
O atacante poderia injetar comandos para manipular o comportamento do chatbot AI e, assim, vazar informações salvas do usuário e sua localização.
Essa falha existia porque o modelo não conseguia distinguir entre consultas legítimas do usuário e prompts injetados externamente via histórico de buscas no Chrome, usados com JavaScript.
3. Uma falha indireta de prompt injection na ferramenta Gemini Browsing.
Ela permitia que invasores exfiltrassem dados e localização dos usuários para servidores externos, explorando chamadas internas que o Gemini faz para resumir o conteúdo das páginas web visitadas.
A Tenable explicou que, com essa vulnerabilidade, seria possível incluir dados privados do usuário em requisições enviadas a servidores maliciosos controlados pelos atacantes, sem que o Gemini precisasse renderizar links ou imagens.
Um cenário de ataque descrito por Matan envolve um invasor injetando um prompt que ordena o Gemini a consultar todos os ativos públicos ou buscar por configurações incorretas de IAM (Identity and Access Management).
O invasor, então, cria um hyperlink contendo esses dados sensíveis, explorando o fato de que o Gemini tem permissão para consultar ativos por meio do Cloud Asset API.
Após a divulgação responsável dessas falhas, o Google tomou medidas para mitigar os riscos.
Entre as ações, o assistente parou de renderizar links nas respostas de sumarização de logs e aplicou reforços adicionais para proteger contra prompt injections.
Matan destacou: "O caso Gemini Trifecta mostra que a AI pode ser usada como vetor de ataque, e não apenas como alvo.
À medida que as organizações adotam AI, não podem negligenciar a segurança.
Proteger ferramentas de inteligência artificial exige visibilidade sobre onde elas operam no ambiente e rigor na aplicação de políticas para manter o controle."
Essa notícia chega enquanto a plataforma de segurança agentic CodeIntegrity revelou um novo método de ataque que explora o agente AI do Notion para exfiltração de dados.
O ataque usa um arquivo PDF com instruções de prompt escondidas em texto branco sobre fundo branco, ordenando o modelo a coletar informações confidenciais e enviá-las aos invasores.
Segundo a empresa, "agentes com amplo acesso ao workspace podem executar tarefas encadeadas entre documentos, bancos de dados e conectores externos de maneiras que o RBAC (Role-Based Access Control) nunca antecipou.
Isso amplia enormemente a superfície de ataque, permitindo que dados sensíveis ou ações sejam exfiltrados ou mal utilizados por meio de fluxos de trabalho automatizados e multi etapas."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...