Published on

Falhas no Google Gemini permitem injeção de prompts

Authors

Pesquisadores Divulgam Falhas no Google Gemini AI que Permitem Injeção de Prompt e Explorações na Nuvem

Pesquisadores de segurança cibernética divulgaram três vulnerabilidades de segurança agora corrigidas que afetavam o assistente de inteligência artificial Gemini do Google. Essas falhas, se exploradas com sucesso, poderiam ter exposto os usuários a grandes riscos de privacidade e roubo de dados.

As vulnerabilidades foram coletivamente apelidadas de Gemini Trifecta pela empresa de segurança Tenable e residiam em três componentes distintos do conjunto Gemini:

As Três Vulnerabilidades

1. Falha de Injeção de Prompt no Gemini Cloud Assist

  • Permitia que atacantes explorassem serviços baseados em nuvem e comprometessem recursos de nuvem
  • Os invasores poderiam ocultar um prompt em um cabeçalho User-Agent como parte de uma solicitação HTTP
  • Afetava serviços como Cloud Function, Cloud Run, App Engine e APIs do Google Cloud

2. Falha de Injeção de Pesquisa no Modelo de Personalização de Pesquisa do Gemini

  • Permitia que atacantes injetassem prompts e controlassem o comportamento do chatbot de IA
  • Poderia vazar informações salvas do usuário e dados de localização
  • Explorava a incapacidade do modelo de diferenciar entre consultas legítimas e prompts injetados

3. Falha de Injeção de Prompt Indireta na Ferramenta de Navegação do Gemini

  • Permitia exfiltrar informações salvas do usuário e dados de localização para um servidor externo
  • Aproveitava a chamada interna que o Gemini faz para resumir o conteúdo de uma página da web

Cenários de Ataque

Os pesquisadores descreveram cenários impactantes onde um invasor poderia:

  • Consultar todos os ativos públicos ou procurar configurações incorretas do IAM
  • Criar um hiperlink que contém dados sensíveis
  • Persuadir um usuário a visitar um site malicioso para injetar consultas de pesquisa prejudiciais

Medidas de Correção

Após a divulgação responsável, o Google implementou correções que incluem:

  • Parou de renderizar hiperlinks nas respostas de resumo de log
  • Adicionou mais medidas de proteção contra injeções de prompt

Importância da Descoberta

"A Gemini Trifecta mostra que a própria IA pode ser transformada no veículo de ataque, não apenas no alvo", alertou o pesquisador Liv Matan. "À medida que as organizações adotam a IA, elas não podem negligenciar a segurança."

O desenvolvimento ocorre em um contexto crescente de preocupações com segurança de IA, com exemplos recentes de ataques semelhantes sendo documentados em outras plataformas.