Los investigadores de ciberseguridad han revelado detalles de una falla de seguridad que aprovecha la inyección inmediata indirecta dirigida a Google Gemini como una forma de eludir las barreras de autorización y utilizar Google Calendar como mecanismo de extracción de datos.

La vulnerabilidad, según el jefe de investigación de Miggo Security, Liad Eliyahu, permitía eludir los controles de privacidad de Google Calendar al ocultar una carga maliciosa latente dentro de una invitación de calendario estándar.

«Esta elusión permitió el acceso no autorizado a los datos de las reuniones privadas y la creación de eventos de calendario engañosos sin ninguna interacción directa con el usuario», dijo Eliyahu dijo en un informe compartido con The Hacker News.

El punto de partida de la cadena de ataque es un nuevo evento de calendario creado por el actor de la amenaza y enviado a un objetivo. La descripción de la invitación incluye un mensaje en lenguaje natural diseñado para cumplir con sus órdenes, lo que genera una inyección rápida.

El ataque se activa cuando un usuario hace a Gemini una pregunta completamente inocua sobre su agenda (por ejemplo, ¿tengo alguna reunión para el martes?) , lo que hace que el chatbot de inteligencia artificial (IA) analice el mensaje especialmente diseñado en la descripción del evento mencionado anteriormente para resumir todas las reuniones de los usuarios de un día específico, añadir estos datos a un evento de Google Calendar recién creado y, a continuación, devolver una respuesta inofensiva al usuario.

«Sin embargo, entre bastidores, Gemini creó un nuevo evento de calendario y escribió un resumen completo de las reuniones privadas de nuestro usuario objetivo en la descripción del evento», dijo Miggo. «En muchas configuraciones de calendarios empresariales, el nuevo evento era visible para el atacante, lo que le permitía leer los datos privados filtrados sin que el usuario objetivo tomara ninguna medida».

Si bien el problema se ha abordado desde entonces tras una divulgación responsable, los hallazgos demuestran una vez más que las funciones nativas de la IA pueden ampliar la superficie de ataque e introducir inadvertidamente nuevos riesgos de seguridad a medida que más organizaciones utilizan herramientas de IA o crean sus propios agentes internamente para automatizar los flujos de trabajo.

«Las aplicaciones de IA se pueden manipular a través del mismo lenguaje para el que están diseñadas», señaló Eliyahu. «Las vulnerabilidades ya no se limitan al código. Ahora dependen del lenguaje, el contexto y el comportamiento de la IA en tiempo de ejecución».

La revelación se produce días después de que Varonis detallara un ataque llamado Volver a avisar eso podría haber permitido a los adversarios extraer datos confidenciales de chatbots de inteligencia artificial (IA) como Microsoft Copilot con un solo clic, sin pasar por los controles de seguridad empresariales.

Los hallazgos ilustran la necesidad de evaluando constantemente modelos lingüísticos extensos (LLM) que abarcan dimensiones clave de seguridad y protección, ponen a prueba su inclinación por las alucinaciones, la precisión de los hechos, los prejuicios, los daños y la resistencia a la fuga de la cárcel y, al mismo tiempo, protegen los sistemas de IA de los problemas tradicionales.

La semana pasada, XM Cyber, de Schwarz Group, reveló nuevas formas de aumentar los privilegios en Agent Engine y Ray de Google Cloud Vertex AI, lo que subraya la necesidad de que las empresas auditen todas las cuentas de servicio o identidades asociadas a sus cargas de trabajo de IA.

«Estas vulnerabilidades permiten a un atacante con permisos mínimos secuestrar agentes de servicio con altos privilegios, convirtiendo de manera efectiva estas identidades administradas 'invisibles' en 'agentes dobles' que facilitan la escalada de privilegios», afirman los investigadores Eli Shparaga y Erez Hasson dijo .

La explotación exitosa de las fallas del doble agente podría permitir a un atacante leer todas las sesiones de chat, leer las memorias de LLM y leer información potencialmente confidencial almacenada en depósitos de almacenamiento u obtener acceso de raíz al clúster Ray. Dado que Google afirma que los servicios actualmente «funcionan según lo previsto», es fundamental que las organizaciones revisen las identidades con el rol de visor y se aseguren de que existen los controles adecuados para evitar la inyección de código no autorizado.

El desarrollo coincide con el descubrimiento de múltiples vulnerabilidades y debilidades en diferentes sistemas de IA -

  • Fallos de seguridad (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 y CVE-2026-0616) en The Librarian, una herramienta de asistente personal basada en inteligencia artificial proporcionada por TheLibrarian.io, que habilitar a un atacante para acceder a su infraestructura interna, incluida la consola de administración y el entorno de nube, y, en última instancia, filtrar información confidencial, como los metadatos de la nube, los procesos en ejecución en el backend y la solicitud del sistema, o iniciar sesión en su sistema de backend interno.
  • Una vulnerabilidad que demuestra cómo se pueden extraer las indicaciones del sistema de los asistentes de LLM basados en la intención pidiéndoles que muestren la información en formato codificado en Base64 en los campos del formulario. «Si un LLM puede ejecutar acciones que escriban en cualquier campo, registro, entrada de base de datos o archivo, cada uno de ellos se convierte en un potencial canal de exfiltración, independientemente de lo bloqueada que esté la interfaz de chat», explica Praetorian.
  • Un ataque que demuestra cómo plugin malicioso subido a un mercado para Anthropic Claude Code se puede utilizar para eludir las protecciones humanas al tanto a través de ganchos y exfiltrar los archivos de un usuario mediante la inyección indirecta de mensajes.
  • Una vulnerabilidad crítica en Cursor ( CVE-2026-22708 ) que permite la ejecución remota de código mediante la inyección indirecta de mensajes al aprovechar un descuido fundamental en la forma en que los IDE de las agencias gestionan los comandos integrados en el shell. «Al abusar de funciones integradas de shell de confianza implícita, como export, typeset y declare, los actores de amenazas pueden manipular silenciosamente las variables del entorno y, posteriormente, dañar el comportamiento de las herramientas de desarrollo legítimas», dijo Pillar Security dijo . «Esta cadena de ataques convierte comandos benignos aprobados por los usuarios, como git branch o python3 script.py, en vectores de ejecución de código arbitrario».

Un análisis de seguridad de cinco IDE de codificación de Vibe, a saber, Cursor, Claude Code, OpenAI Codex, Replit y Devin, que descubrió que los agentes de codificación son buenos para evitar las inyecciones de SQL o los defectos de XSS, pero tienen dificultades a la hora de gestionar los problemas de la SSRF, la lógica empresarial y hacer cumplir la autorización adecuada al acceder a las API. Para empeorar las cosas, ninguna de las herramientas incluía la protección CSRF, los encabezados de seguridad o la limitación de la velocidad de inicio de sesión.

La prueba destaca los límites actuales de la codificación de vibraciones y demuestra que la supervisión humana sigue siendo clave para abordar estas brechas.

«No se puede confiar en que los agentes de codificación diseñen aplicaciones seguras», Ori David de Tenzai dijo . Si bien es posible que produzcan código seguro (algunas veces), los agentes no implementan sistemáticamente los controles de seguridad críticos sin una orientación explícita. Cuando los límites no están claros (flujos de trabajo de lógica empresarial, reglas de autorización y otras decisiones de seguridad matizadas), los agentes cometerán errores».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.