Onderzoekers van cybersecurity hebben drie inmiddels aangesloten beveiligingskwetsbaarheden die van invloed zijn op Google’s Gemini Artificial Intelligence (AI) -assistent die, indien met succes benutten, gebruikers kunnen hebben kunnen blootstellen aan belangrijke privacyrisico’s en gegevensdiefstal.
“Ze maakten Gemini kwetsbaar voor het zoeken naar zoekopdrachtsaanvallen op haar zoekpersonalisatiemodel; log-to-prompt-injectieaanvallen tegen Gemini Cloud Assist; en exfiltratie van de opgeslagen informatie en locatiegegevens van de gebruiker via de Gemini-browsingtool,” zei wentelbare beveiligingsonderzoeker Liv Matan in een rapport dat in een rapport werd gedeeld met het hackersnieuws.
De kwetsbaarheden zijn gezamenlijk codened gemaakt van de Gemini Trifecta door het Cybersecurity Company. Ze wonen in drie verschillende componenten van de Gemini Suite –
- A prompt injection flaw in Gemini Cloud Assist that could allow attackers to exploit cloud-based services and compromise cloud resources by taking advantage of the fact that the tool is capable of summarizing logs pulled directly from raw logs, enabling the threat actor to conceal a prompt within a User-Agent header as part of an HTTP request to a Cloud Function and other services like Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API en aanbeveling API
- Een zoekopdrachtfout in het Gemini Search Personalisatiemodel waarmee aanvallers prompts kunnen injecteren en het gedrag van de AI-chatbot kunnen regelen om de opgeslagen informatie en locatiegegevens van een gebruiker te lekken door hun chromen zoekgeschiedenis te manipuleren met behulp van JavaScript en het onvermogen van het model te gebruiken tussen legitieme gebruikersvragen en injectie van externe sources.
- Een indirecte snelle injectie -fout in Gemini browsing tool waarmee aanvallers de opgeslagen informatie- en locatiegegevens van een gebruiker kunnen exfiltreren naar een externe server door te profiteren van de interne oproep Gemini maakt het samenvatten van de inhoud van een webpagina
Tenable zei dat de kwetsbaarheid had kunnen worden misbruikt om de privégegevens van de gebruiker in te bedden in een verzoek aan een kwaadwillende server die door de aanvaller wordt bestuurd zonder dat Gemini links of afbeeldingen moet weergeven.
“Een impactvol aanvalsscenario zou een aanvaller zijn die een prompt injecteert die Gemini instrueert om alle openbare activa te vragen, of om te vragen voor IAM -verkeerde configuraties, en vervolgens een hyperlink creëert die deze gevoelige gegevens bevat,” zei Matan van de cloudhulpfouten. “Dit zou mogelijk moeten zijn, omdat Gemini de toestemming heeft om activa te vragen via de Cloud Asset API.”
Na verantwoorde openbaarmaking is Google sindsdien gestopt met het weergeven van hyperlinks in de antwoorden voor alle reacties van het logboekoverzicht en heeft hij meer verharderende maatregelen toegevoegd om te beschermen tegen snelle injecties.
“De Gemini Trifecta laat zien dat AI zelf kan worden omgezet in het aanvalsvoertuig, niet alleen het doelwit. Omdat organisaties AI aannemen, kunnen ze de beveiliging niet over het hoofd zien,” zei Matan. “Het beschermen van AI -tools vereist zichtbaarheid naar waar ze bestaan in het hele milieu en strikte handhaving van het beleid om de controle te behouden.”
De ontwikkeling komt als Agentic Security Platform CodeIntegrity gedetailleerd een nieuwe aanval die de AI -agent van Notion misbruikt voor gegevens -exfiltratie door snelle instructies in een PDF -bestand te verbergen met witte tekst op een witte achtergrond die het model instrueert om vertrouwelijke gegevens te verzamelen en deze vervolgens naar de aanvallers te verzenden.
“Een agent met brede werkruimtetoegang kan taken ketens in documenten, databases en externe connectoren op manieren die RBAC nooit had verwacht,” zei het bedrijf. “Dit creëert een enorm uitgebreid bedreigingsoppervlak waar gevoelige gegevens of acties kunnen worden geëxfiltreerd of misbruikt via multi -stappen, geautomatiseerde workflows.”
