После обнаружения трёх новых уязвимостей в Google Gemini эксперты предупредили, что сетевым защитникам следует начать рассматривать интеграцию ИИ как активную поверхность угроз. Компания Tenable назвала своё последнее открытие Gemini Trifecta, поскольку оно включает три способа, вооружившись которыми, злоумышленники могут манипулировать Google GenAI.
Первая уязвимость, связанная с непрямым внедрением подсказок, затрагивает Gemini Cloud Assist — инструмент, разработанный для помощи пользователям в понимании сложных журналов в Google Cloud Platform (GCP) через суммирование записей и выдачу рекомендаций. Атака осуществляется путём вставки контролируемого хакером текста в запись журнала, которая затем суммируется Cloud Assist, а также за счёт «распыления» на все общедоступные сервисы. После чего эти инструкции непреднамеренно выполняются инструментом Google.
Второй метод атаки с использованием косвенного внедрения подсказок нацелен на модель персонализации поиска Gemini, которая контекстуализирует ответы на основе истории поиска пользователя. Исследователи стремились внедрить вредоносные запросы (например, с помощью JavaScript) в Chrome, и Gemini впоследствии обрабатывал их как доверенный контекст, что позволяло злоумышленникам манипулировать поведением нейросети и производить кражу данных.
Третья уязвимость, описанная Tenable, заключается в том, что Gemini Browsing Tool, используя вредоносные запросы, отправляет конфиденциальные данные жертвы на серверы, контролируемые атакующими. Сервис позволяет модели получать доступ к текущему веб-контенту и генерировать сводки на его основе, открывая вектор утечки по сторонним каналам.
Авторы отчёта предупредили, что поверхность атаки может быть даже шире и включать сервисы облачной инфраструктуры, корпоративные инструменты повышения производительности и сторонние приложения. Tenable настоятельно рекомендует командам безопасности учитывать риск опосредованного попадания вредоносного контента в системы ИИ, внедрять многоуровневую защиту (очистку входных данных, проверку контекста и строгий мониторинг работы инструментов) и регулярно проводить тестирование для обеспечения устойчивости нейросетей к мгновенным инъекциям.
Усам Оздемиров
