Cybersecurity-onderzoekers hebben details onthuld van een beveiligingsfout die gebruik maakt van indirecte promptinjectie gericht op Google Gemini als een manier om autorisatierails te omzeilen en Google Agenda te gebruiken als een mechanisme voor gegevensextractie.
De kwetsbaarheid, zegt hoofd onderzoek van Miggo Security, Liad Eliyahu, maakt het mogelijk om de privacycontroles van Google Agenda te omzeilen door een sluimerende kwaadaardige lading te verbergen in een standaard agenda-uitnodiging.
“Deze bypass maakte ongeoorloofde toegang tot privévergaderingsgegevens en het creëren van misleidende agenda-evenementen mogelijk zonder enige directe gebruikersinteractie”, zei Eliyahu in een rapport gedeeld met The Hacker News.
Het startpunt van de aanvalsketen is een nieuwe kalendergebeurtenis die door de bedreigingsacteur wordt samengesteld en naar een doelwit wordt gestuurd. De beschrijving van de uitnodiging bevat een prompt in natuurlijke taal die is ontworpen om hun biedingen uit te voeren, wat resulteert in een snelle injectie.
De aanval wordt geactiveerd wanneer een gebruiker Gemini een volkomen onschadelijke vraag stelt over zijn of haar planning (bijvoorbeeld: Heb ik vergaderingen voor dinsdag?), waardoor de kunstmatige intelligentie (AI) chatbot de speciaal vervaardigde prompt in de bovengenoemde gebeurtenisbeschrijving analyseert om alle vergaderingen van gebruikers voor een specifieke dag samen te vatten, deze gegevens toe te voegen aan een nieuw gemaakte Google Agenda-afspraak en vervolgens een onschadelijk antwoord terug te sturen naar de gebruiker.
“Achter de schermen creëerde Gemini echter een nieuwe kalendergebeurtenis en schreef een volledige samenvatting van de privévergaderingen van onze doelgroep in de beschrijving van de gebeurtenis”, zei Miggo. “In veel zakelijke agendaconfiguraties was de nieuwe gebeurtenis zichtbaar voor de aanvaller, waardoor deze de geëxfiltreerde privégegevens kon lezen zonder dat de doelgebruiker ooit actie ondernam.”
Hoewel het probleem sindsdien is aangepakt na verantwoorde openbaarmaking, illustreren de bevindingen opnieuw dat AI-native functies het aanvalsoppervlak kunnen vergroten en onbedoeld nieuwe beveiligingsrisico’s kunnen introduceren naarmate meer organisaties AI-tools gebruiken of intern hun eigen agenten bouwen om workflows te automatiseren.
“AI-applicaties kunnen worden gemanipuleerd via de taal waarvoor ze zijn ontworpen”, aldus Eliyahu. “Kwetsbaarheden zijn niet langer beperkt tot code. Ze leven nu in taal, context en AI-gedrag tijdens runtime.”
De onthulling komt dagen nadat Varonis een aanval met de naam Reprompt heeft beschreven die het voor tegenstanders mogelijk had kunnen maken om met één klik gevoelige gegevens uit kunstmatige intelligentie (AI) chatbots zoals Microsoft Copilot te exfiltreren, terwijl ze de beveiligingscontroles van de onderneming omzeilden.
De bevindingen illustreren de noodzaak om voortdurend grote taalmodellen (LLM’s) te evalueren op basis van belangrijke veiligheids- en beveiligingsdimensies, waarbij hun neiging tot hallucinatie, feitelijke nauwkeurigheid, vooringenomenheid, schade en weerstand tegen jailbreaks wordt getest, terwijl tegelijkertijd AI-systemen worden beschermd tegen traditionele problemen.
Vorige week onthulde XM Cyber van Schwarz Group nieuwe manieren om privileges binnen de Agent Engine en Ray van Google Cloud Vertex AI te escaleren, wat de noodzaak voor bedrijven onderstreepte om elk serviceaccount of elke identiteit die aan hun AI-workloads is gekoppeld, te controleren.
“Deze kwetsbaarheden stellen een aanvaller met minimale rechten in staat om hooggeprivilegieerde Service Agents te kapen, waardoor deze ‘onzichtbare’ beheerde identiteiten effectief worden omgezet in ‘dubbele agenten’ die escalatie van privileges mogelijk maken”, aldus onderzoekers Eli Shparaga en Erez Hasson.
Succesvol misbruik van de double-agent-fouten zou een aanvaller in staat kunnen stellen alle chatsessies te lezen, LLM-herinneringen te lezen en potentieel gevoelige informatie te lezen die is opgeslagen in opslagbuckets, of root-toegang tot het Ray-cluster te verkrijgen. Nu Google beweert dat de services momenteel “werken zoals bedoeld”, is het essentieel dat organisaties identiteiten met de rol van Viewer beoordelen en ervoor zorgen dat er adequate controles zijn om ongeautoriseerde code-injectie te voorkomen.
De ontwikkeling valt samen met de ontdekking van meerdere kwetsbaarheden en zwakheden in verschillende AI-systemen –
- Beveiligingsfouten (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 en CVE-2026-0616) in The Librarian, een AI-aangedreven persoonlijke assistent-tool geleverd door TheLibrarian.io, waarmee een aanvaller toegang kan krijgen tot de interne infrastructuur, inclusief de beheerdersconsole en de cloudomgeving, en uiteindelijk gevoelige informatie kan lekken, zoals cloudmetagegevens, lopende processen in de backend, en systeemprompt, of log in op het interne backend-systeem.
- Een kwetsbaarheid die laat zien hoe systeemprompts kunnen worden geëxtraheerd uit op intentie gebaseerde LLM-assistenten door hen te vragen de informatie in Base64-gecodeerde indeling in formuliervelden weer te geven. “Als een LLM acties kan uitvoeren die naar welk veld, log, database-item of bestand dan ook schrijven, wordt elk een potentieel exfiltratiekanaal, ongeacht hoe vergrendeld de chatinterface is”, zei Praetorian.
- Een aanval die laat zien hoe een kwaadaardige plug-in die naar een marktplaats voor Anthropic Claude Code is geüpload, kan worden gebruikt om human-in-the-loop-beveiligingen via hooks te omzeilen en de bestanden van een gebruiker te exfiltreren via indirecte promptinjectie.
- Een kritieke kwetsbaarheid in Cursor (CVE-2026-22708) die uitvoering van code op afstand mogelijk maakt via indirecte promptinjectie door gebruik te maken van een fundamenteel toezicht op de manier waarop agentische IDE’s omgaan met ingebouwde shell-opdrachten. “Door misbruik te maken van impliciet vertrouwde ingebouwde shell-ins, zoals exporteren, typen en declareren, kunnen bedreigingsactoren stilletjes omgevingsvariabelen manipuleren die vervolgens het gedrag van legitieme ontwikkelaarstools vergiftigen”, aldus Pillar Security. “Deze aanvalsketen zet goedaardige, door de gebruiker goedgekeurde commando’s – zoals git branch of python3 script.py – om in willekeurige code-uitvoeringsvectoren.”
Een beveiligingsanalyse van vijf Vibe-coderings-IDE’s, namelijk. Cursor, Claude Code, OpenAI Codex, Replit en Devin, die codeeragenten hebben gevonden, zijn goed in het vermijden van SQL-injecties of XSS-fouten, maar hebben moeite met het omgaan met SSRF-problemen, bedrijfslogica en het afdwingen van de juiste autorisatie bij toegang tot API’s. Tot overmaat van ramp omvatte geen van de tools CSRF-bescherming, beveiligingsheaders of beperking van de inlogsnelheid.
De test benadrukt de huidige beperkingen van vibe-codering en laat zien dat menselijk toezicht nog steeds de sleutel is om deze hiaten aan te pakken.
“Codeeragenten kunnen niet worden vertrouwd bij het ontwerpen van veilige applicaties”, zegt Ori David van Tenzai. Hoewel ze (soms) veilige code kunnen produceren, slagen agenten er consequent niet in om kritieke beveiligingscontroles te implementeren zonder expliciete begeleiding. Waar grenzen niet duidelijk zijn – bedrijfslogische workflows, autorisatieregels en andere genuanceerde beveiligingsbeslissingen – zullen agenten fouten maken.”
