Kompanija Google odlučila je da ne ispravi novu ranjivost poznatu kao ASCII smuggling u okviru svog AI asistenta Gemini, iako ovaj napad može biti iskorišćen da asistentu podmetne lažne informacije, promijeni njegovo ponašanje ili neprimjetno kontaminira njegove podatke.
ASCII smuggling je tehnika napada u kojoj se specijalni karakteri iz Unicode „Tags“ bloka koriste za ubacivanje skrivenih djelova koda – nevidljivih korisniku, ali koje veliki jezički modeli (LLM-ovi) i dalje mogu da očitaju i obrade.
Ova metoda slična je ranijim napadima koje su istraživači predstavili protiv Google Gemini-ja, a koji iskorišćavaju razliku između onoga što korisnik vidi i onoga što sistem „čita“, poput manipulacije CSS-om ili ograničenja korisničkog interfejsa.
Iako ranjivost LLM-ova na ASCII smuggling napade nije nova pojava – istražuje se još od pojave generativnih AI alata – rizik je sada značajno veći.
Ranije su napadi zahtijevali da korisnik sam zalijepi posebno oblikovan tekst, ali sa pojavom agentnih AI alata poput Gemini-ja, koji imaju širok pristup osjetljivim korisničkim podacima i mogu da djeluju autonomno, potencijalna šteta je daleko ozbiljnija.
Viktor Markopoulos, bezbjednosni istraživač iz kompanije FireTail, testirao je ASCII smuggling protiv više popularnih AI alata i otkrio da su Gemini (putem Google Calendar pozivnica i mejlova), DeepSeek (preko promptova) i Grok (objave na X mreži) ranjivi na ovu tehniku.
S druge strane, Claude, ChatGPT i Microsoft CoPilot pokazali su otpornost, zahvaljujući implementaciji mehanizama za sanitizaciju unosa, navodi FireTail.
Kada je riječ o Gemini-ju, njegova integracija sa Google Workspace-om nosi visok rizik, jer napadači mogu ASCII smuggling koristiti za ubacivanje skrivenog teksta u naslove kalendarskih poziva ili mejlove.
Markopoulos je demonstrirao da je moguće sakriti instrukcije u naslovu poziva, zamijeniti podatke organizatora (identitet spoofing) i ubaciti nevidljive opise sastanaka ili linkove.
Još opasniji je scenario sa mejlovima – istraživač upozorava da „korisnici koji imaju LLM povezan sa svojom pristiglom poštom mogu postati meta jednostavne poruke sa skrivenim komandama koje upućuju model da pretraži sanduče za osjetljive informacije ili da pošalje kontakte napadaču“, čime običan fišing postaje automatizovani alat za izvlačenje podataka.
LLM-ovi koji imaju mogućnost pretraživanja web stranica takođe mogu nesvjesno naići na skrivene instrukcije u opisima proizvoda i prenijeti maliciozne linkove korisniku.
Istraživač je rezultate otkrića prijavio Google-u 18. septembra, ali je kompanija odbacila izvještaj uz obrazloženje da se ne radi o bezbjednosnoj grešci, već o mogućem socijalno-inženjerskom scenariju.
Ipak, Markopoulos je pokazao da napad može navesti Gemini da korisniku pruži pogrešne informacije – u jednom primjeru, nevidljiva instrukcija navela je AI da preporuči potencijalno maliciozan sajt kao „mjesto gdje se može kupiti kvalitetan telefon uz popust“.
Za razliku od Google-a, druge tehnološke kompanije imaju drugačiji pristup ovom pitanju – na primjer, Amazon je objavio detaljno bezbjednosno uputstvo o sprečavanju Unicode smuggling napada.
Izvor: BleepingComputer
