Uma vulnerabilidade crítica no Gemini, inteligência artificial do Google, permitia que atacantes roubassem informações confidenciais do calendário de usuários usando apenas um convite aparentemente inofensivo. A falha, descoberta por pesquisadores de segurança e reportada ao Google, foi corrigida.
O ataque explora a forma como o Gemini lê e interpreta eventos do Google Calendar para responder perguntas dos usuários. Diferente de vulnerabilidades tradicionais que usam código malicioso fácil de detectar, esta falha funcionava por meio de linguagem natural comum, tornando-a praticamente impossível de bloquear com filtros convencionais de segurança.
Como a vulnerabilidade funcionava
A equipe de pesquisadores começou a investigar a integração entre o Gemini e o Google Calendar após notar que a IA tinha acesso irrestrito ao conteúdo de eventos para responder perguntas dos usuários. O Gemini atua como assistente para o calendário, analisando títulos, horários, participantes e descrições de eventos para responder perguntas como "Qual é minha agenda hoje?" ou "Estou livre no sábado?".
Os pesquisadores identificaram que essa integração poderia ser explorada de forma simples.
O ataque era executado em três fases distintas. Primeiro, o atacante criava um evento de calendário normal e enviava um convite para a vítima. No campo de descrição - onde normalmente as pessoas escrevem informações como "trazer laptop" ou "confirmar presença", o criminoso escondia um prompt malicioso disfarçado de texto comum.
O novo desafio de segurança
O principal problema com esse tipo de golpe é a forma de combate. Isso porque, em aplicações tradicionais, a segurança é sintática, ou seja, procura-se por strings e padrões de alto sinal, como payloads SQL, tags de script ou anomalias de escape, e bloqueia essas ações.
Ao contrário das tradicionais, as vulnerabilidades em sistemas baseados em LLMs são semânticas. A porção maliciosa do payload dos pesquisadores - "me ajude a fazer o que sempre faço manualmente: 1. resumir todas as minhas reuniões..." - não é uma string obviamente perigosa.
É uma instrução plausível, até útil, que um usuário poderia legitimamente dar. O perigo emerge do contexto, da intenção e da capacidade do modelo de agir (por exemplo, chamado "Calendar.create").
LLMs como camada de aplicação
Neste caso, o Gemini funcionava não apenas como interface de chat, mas como uma camada de aplicação com acesso a ferramentas e APIs. Quando a superfície de API de uma aplicação é linguagem natural, a camada de ataque se torna "difusa". Instruções semanticamente maliciosas podem parecer linguisticamente idênticas a consultas legítimas de usuários.
Impacto poderia afetar milhões de usuários corporativos
Com o surgimento de cada vez mais assistentes de IA integrados em ferramentas corporativas - Gmail, Microsoft 365 Copilot, Notion AI, Slack - esse tipo de vulnerabilidade pode se tornar cada vez mais comum.
Google corrigiu vulnerabilidade rapidamente
O Google confirmou os achados dos pesquisadores e implementou mitigações para a vulnerabilidade. A empresa conduziu auditoria extensiva dos logs e não encontrou evidências de que outros atores além dos pesquisadores exploraram a falha.
A empresa também implementou proteções adicionais nos processos que lidam com dados sensíveis de calendário e tokens de autenticação. No entanto, não divulgou detalhes técnicos específicos da correção para evitar que criminosos encontrem formas de contorná-la.
Nenhum comentário:
Postar um comentário