Los investigadores de ciberseguridad han revelado tres vulnerabilidades de seguridad ahora corregidas que afectan al asistente de inteligencia artificial (IA) Gemini de Google y que, si se explotan con éxito, podrían haber expuesto a los usuarios a importantes riesgos de privacidad y al robo de datos.
«Hicieron que Gemini fuera vulnerable a los ataques de inyección de búsquedas en su modelo de personalización de búsquedas; a los ataques de inyección de información para iniciar sesión contra Gemini Cloud Assist; y a la exfiltración de la información guardada y los datos de ubicación del usuario a través de la herramienta de navegación Gemini», dijo Liv Matan, investigadora de seguridad de Tenable dijo en un informe compartido con The Hacker News.
Las vulnerabilidades se han denominado colectivamente con el nombre en código de Trifecta de Géminis de la empresa de ciberseguridad. Se encuentran en tres componentes distintos de la suite Gemini:
- Un defecto de inyección rápida en Gemini Cloud Assist esto podría permitir a los atacantes aprovechar los servicios basados en la nube y comprometer los recursos de la nube al aprovechar el hecho de que la herramienta es capaz de resumir los registros extraídos directamente de los registros sin procesar, lo que permite al actor de la amenaza ocultar un mensaje dentro del encabezado de un agente de usuario como parte de una solicitud HTTP a una función de nube y a otros servicios como Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API y Recommender API
- Una falla de búsqueda e inyección en el Modelo de personalización de Gemini Search eso podría permitir a los atacantes inyectar indicaciones y controlar el comportamiento del chatbot de IA para filtrar la información guardada y los datos de ubicación de un usuario manipulando su historial de búsqueda de Chrome mediante JavaScript y aprovechando el modelo incapacidad para diferenciar entre las consultas legítimas de los usuarios y las solicitudes inyectadas de fuentes externas
- Una falla indirecta de inyección rápida en la herramienta de navegación Gemini que podría permitir a los atacantes filtrar la información guardada y los datos de ubicación de un usuario a un servidor externo aprovechando la llamada interna que Gemini realiza para resumir el contenido de una página web
Tenable dijo que se podría haber abusado de la vulnerabilidad para incrustar los datos privados del usuario en una solicitud a un servidor malicioso controlado por el atacante sin la necesidad de que Gemini generara enlaces o imágenes.
«Un escenario de ataque impactante sería el de un atacante que inyecta un mensaje que indica a Gemini que consulte todos los activos públicos o que busque errores de configuración de IAM y, a continuación, cree un hipervínculo que contenga estos datos confidenciales», dijo Matan sobre la falla de Cloud Assist. «Esto debería ser posible, ya que Gemini tiene permiso para consultar los activos a través de la API de Cloud Asset».
Tras la divulgación responsable, Google ha dejado de mostrar hipervínculos en las respuestas de todas las respuestas resumidas de registros y ha añadido más medidas más estrictas para evitar que se introduzcan rápidamente.
«La Trifecta de Gemini demuestra que la propia IA puede convertirse en el vehículo de ataque, no solo en el objetivo. A medida que las organizaciones adoptan la IA, no pueden pasar por alto la seguridad», afirma Matan. «La protección de las herramientas de inteligencia artificial requiere saber dónde se encuentran en el entorno y una aplicación estricta de las políticas para mantener el control».
La noticia se produce cuando la plataforma de seguridad para agencias CodeIntegrity detalló un nuevo ataque que abusa del agente de inteligencia artificial de Notion para la exfiltración de datos al ocultar instrucciones rápidas en un archivo PDF con texto blanco sobre un fondo blanco que indica al modelo que recopile datos confidenciales y luego los envíe a los atacantes.
«Un agente con un amplio acceso al espacio de trabajo puede encadenar tareas entre documentos, bases de datos y conectores externos de formas que RBAC nunca había previsto», afirma la empresa dijo . «Esto crea una superficie de amenazas enormemente ampliada en la que los datos o las acciones confidenciales pueden filtrarse o utilizarse indebidamente mediante flujos de trabajo automatizados de varios pasos».