Los investigadores eludieron las defensas de Google Gemini utilizando instrucciones en lenguaje natural, creando eventos engañosos para filtrar datos privados del Calendario. Este método permite la filtración de datos confidenciales a un atacante a través de una descripción de evento del Calendario. Gemini, el asistente LLM de Google, se integra con los servicios web de Google y aplicaciones de Workspace como Gmail y Calendar. El ataque de invitación al Calendario basado en Gemini comienza enviando a un objetivo una invitación a un evento que contiene una carga útil de inyección rápida en su descripción. Las actividades de exfiltración se activan cuando la víctima le pregunta a Gemini sobre su agenda. Esto hace que el asistente cargue y analice todos los eventos relevantes, incluido el que tiene la carga útil del atacante. Los investigadores de Miggo Security, una plataforma de detección y respuesta de aplicaciones (ADR), descubrieron que podían engañar a Gemini para que filtrara datos del Calendario proporcionando instrucciones en lenguaje natural. Estas incluyeron: resumir todas las reuniones de un día específico, incluidas las privadas; crear un nuevo evento de calendario con ese resumen; y responder al usuario con un mensaje inofensivo. Los investigadores explicaron: “Debido a que Gemini ingiere e interpreta automáticamente los datos de eventos para que sean útiles, un atacante que pueda influir en los campos de eventos puede plantar instrucciones en lenguaje natural que el modelo puede ejecutar más adelante”. Descubrieron que controlar el campo de descripción de un evento permitía incorporar un mensaje que Google Gemini obedecería, incluso con un resultado dañino. La carga útil de la invitación maliciosa permanece inactiva hasta que la víctima le hace a Gemini una pregunta de rutina sobre su agenda. Tras la ejecución de las instrucciones integradas en la invitación maliciosa del Calendario, Gemini crea un nuevo evento. Escribe el resumen de la reunión privada en la descripción de este nuevo evento. En muchas configuraciones empresariales, la descripción actualizada se vuelve visible para los participantes del evento, lo que potencialmente filtra información confidencial al atacante. Miggo señaló que Google emplea un modelo separado y aislado para detectar mensajes maliciosos en el asistente principal de Gemini. Sin embargo, su ataque pasó por alto este mecanismo de seguridad porque las instrucciones parecían seguras. Los ataques de inyección rápida a través de títulos maliciosos de eventos del Calendario no son nuevos. En agosto de 2025, SafeBreach demostró que una invitación maliciosa de Google Calendar podía explotar a los agentes de Gemini para filtrar datos confidenciales de los usuarios. Liad Eliyahu, jefe de investigación de Miggo, informó pitidocomputadora que el nuevo ataque demuestra que las capacidades de razonamiento de Gemini siguen siendo vulnerables a la manipulación a pesar de que Google implementó defensas adicionales después del informe de SafeBreach. Miggo compartió sus hallazgos con Google, que desde entonces ha agregado nuevas mitigaciones. El concepto de ataque de Miggo destaca las complejidades de anticipar nuevos modelos de explotación en sistemas de IA impulsados por lenguaje natural con intenciones ambiguas. Los investigadores sugieren que la seguridad de las aplicaciones debe evolucionar desde la detección sintáctica hasta defensas sensibles al contexto para abordar estas vulnerabilidades.
Crédito de imagen destacada
Source: Google corrige la falla crítica de Gemini que convirtió las invitaciones en vectores de ataque
