Sigurnosni stručnjaci su otkrili značajan propust u Google Gemini za Workspace, koji omogućava napadačima da sakriju maliciozne upute unutar elektronskih poruka. Ovaj napad iskorištava funkciju “Sumiraj ovu poruku” AI asistenta kako bi prikazao lažna sigurnosna upozorenja koja se predstavljaju kao da dolaze od samog Googlea, što potencijalno može dovesti do krađe vjerodajnica i ciljanih socijalnih inženjering napada.
Ključne informacije iz ovog otkrića uključuju sljedeće: Napadači prikrivaju maliciozne upute u e-porukama koristeći nevidljivi HTML/CSS koji Gemini obrađuje prilikom sumiranja poruka. Ova metoda napada zahtijeva samo kreirani HTML, bez potrebe za linkovima, prilozima ili skriptama. Gemini zatim prikazuje lažna upozorenja o krađi identiteta, kreirana od strane napadača, koja izgledaju kao da potiču od Googlea, čime zavarava korisnike i navodi ih na otkrivanje svojih povjerljivih podataka. Propust utiče na Gmail, Docs, Slides i Drive, potencijalno omogućavajući širenje “AI crva” kroz cijeli Google Workspace.
Ovaj propust je demonstriran od strane istraživača koji su svoje nalaze podnijeli kompaniji 0DIN, navodeći ga pod identifikacionim brojem 0xE24D9E6B. Napad se oslanja na tehniku ubrizgavanja upita (prompt injection), kojom se manipuliše sposobnostima Gemini AI za obradu podataka putem pažljivo kodiranog HTML i CSS koda ugrađenog u sadržaj elektronskih poruka. Ono što ovu vrstu napada izdvaja od tradicionalnih pokušaja krađe identiteta jeste to da ne zahtijeva korištenje linkova, priloga ili spoljnih skripti, već samo specijalno formatiran tekst koji je skriven unutar tijela poruke.
Mehanizam napada funkcioniše tako što iskorištava način na koji Gemini obrađuje skrivene HTML direktive. Napadači ubacuju upute unutar oznaka “, istovremeno koristeći CSS stilove poput boje teksta koja odgovara boji pozadine (bijelo na bijelom) ili nulte veličine slova kako bi sadržaj bio nevidljiv za primaoca. Kada žrtva aktivira funkciju “Sumiraj ovu poruku” u Gemini alatu, AI asistent prepoznaje skrivenu direktivu kao legitimnu sistemsku komandu i vjerno reproducira lažno sigurnosno upozorenje koje je kreirao napadač u svom sažetku.
Ovaj sigurnosni propust je klasifikovan kao indirektno ubrizgavanje upita (Indirect Prompt Injection – IPI), gdje vanjski sadržaj dostavljen AI modelu sadrži skrivene upute koje postaju dio efektivnog upita. Stručnjaci za sigurnost ovu vrstu napada svrstavaju u taksonomiju 0DIN pod nazivom “Strategije → Meta-upitavanje → Obmanjujuće formatiranje”, sa umjerenim rezultatom po pitanju društvenog utjecaja. Postoji demonstracija koncepta koja pokazuje kako napadači mogu umetnuti nevidljive elemente (“) koji sadrže upute u administratorskom stilu, usmjeravajući Gemini da dodaje hitna sigurnosna upozorenja sažecima e-poruka.
Takva upozorenja obično podstiču primaoce da pozovu određene telefonske brojeve ili posjete specifične web stranice, čime se omogućava prikupljanje povjerljivih podataka korisnika ili sprovođenje glasovnih prevara (vishing). Značaj ovog propusta leži u činjenici da se on ne ograničava samo na Gmail, već potencijalno utiče na integraciju Gemini AI u cijeli Google Workspace paket, uključujući pretraživanje unutar dokumenata (Docs), prezentacija (Slides) i pohranjenih datoteka (Drive). Ovo otvara značajnu površinu za napade koji obuhvataju više proizvoda, gdje svaki proces koji uključuje obradu sadržaja trećih strana od strane Gemini AI može postati potencijalni vektor ubrizgavanja.
Sigurnosni istraživači upozoravaju da kompromitovani nalozi u sistemima kao što su SaaS (Software as a Service) mogu postati “hiljade tačaka za širenje prevara” putem automatizovanih biltena, CRM sistema i mejlova za podršku. Nadalje, ova tehnika podstiče zabrinutost u vezi sa budućim “AI crvima” koji bi se mogli samostalno replicirati kroz sisteme elektronske pošte, eskalirajući od pojedinačnih pokušaja krađe identiteta do autonomne samoreplikacije.
Radi ublažavanja ovih rizika, sigurnosnim timovima se savjetuje implementacija nekoliko odbrambenih mjera. To uključuje filtriranje dolaznog HTML-a kako bi se uklonili nevidljivi stilovi, konfigurisanje zaštitnih zidova za LLM (Large Language Models) i postavljanje filtera za naknadnu obradu koji skeniraju izlazne rezultate Gemini AI u potrazi za sumnjivim sadržajem. Organizacije bi također trebale unaprijediti obuku korisnika kako bi se naglasilo da sažeci generisani od strane AI služe isključivo u informativne svrhe, a ne kao autoritativna sigurnosna obavještenja.
Za provajdere AI usluga, poput Googlea, preporučene mjere ublažavanja uključuju čišćenje HTML koda prilikom unosa podataka, poboljšano pripisivanje konteksta kako bi se odvojio AI-generisani tekst od izvornog materijala, te unapređenje funkcija objašnjivosti koje korisnicima otkrivaju skrivene upite. Ovaj sigurnosni propust naglašava novonastalu realnost da AI asistenti predstavljaju novu komponentu u ukupnoj površini za napade, zahtijevajući od sigurnosnih timova da pažljivo prate, izoluju i nadziru njihove izlazne podatke kao potencijalne vektore prijetnji.
