Investigadores de ciberseguridad han revelado detalles de una falla de seguridad que aprovecha la inyección indirecta dirigida a Google Gemini como una forma de eludir las barreras de autorización y utilizar Google Calendar como mecanismo de extracción de datos.
La vulnerabilidad, dijo el jefe de investigación de Miggo Security, Liad Eliyahu, hizo posible eludir los controles de privacidad de Google Calendar al ocultar una carga maliciosa inactiva dentro de una invitación de calendario estándar.
«Esta omisión permitió el acceso no autorizado a datos de reuniones privadas y la creación de eventos de calendario engañosos sin ninguna interacción directa del usuario», Eliyahu dicho en un informe compartido con The Hacker News.
El punto de partida de la cadena de ataque es un nuevo evento de calendario elaborado por el actor de la amenaza y enviado a un objetivo. La descripción de la invitación incorpora un mensaje en lenguaje natural que está diseñado para cumplir sus órdenes, lo que resulta en una inyección rápida.
El ataque se activa cuando un usuario le hace a Gemini una pregunta completamente inofensiva sobre su agenda (por ejemplo, ¿Tengo alguna reunión para el martes?), lo que hace que el chatbot de inteligencia artificial (IA) analice el mensaje especialmente diseñado en la descripción del evento antes mencionado para resumir todas las reuniones de los usuarios para un día específico, agregue estos datos a un evento de Google Calendar recién creado y luego devuelva una respuesta inofensiva al usuario.
«Sin embargo, detrás de escena, Gemini creó un nuevo evento de calendario y escribió un resumen completo de las reuniones privadas de nuestro usuario objetivo en la descripción del evento», dijo Miggo. «En muchas configuraciones de calendario empresarial, el nuevo evento era visible para el atacante, lo que le permitía leer los datos privados exfiltrados sin que el usuario objetivo tomara ninguna medida».
Aunque desde entonces el problema se ha abordado tras una divulgación responsable, los hallazgos ilustran una vez más que las características nativas de la IA pueden ampliar la superficie de ataque e introducir inadvertidamente nuevos riesgos de seguridad a medida que más organizaciones utilizan herramientas de IA o construyen sus propios agentes internamente para automatizar los flujos de trabajo.
«Las aplicaciones de IA pueden manipularse a través del mismo lenguaje para el que fueron diseñadas», señaló Eliyahu. «Las vulnerabilidades ya no se limitan al código. Ahora residen en el lenguaje, el contexto y el comportamiento de la IA en tiempo de ejecución».
La revelación se produce días después de que Varonis detallara un ataque llamado Reavivar eso podría haber hecho posible que los adversarios exfiltraran datos confidenciales de chatbots de inteligencia artificial (IA) como Microsoft Copilot con un solo clic, evitando al mismo tiempo los controles de seguridad empresariales.
Los hallazgos ilustran la necesidad de evaluando constantemente modelos de lenguaje grandes (LLM) en dimensiones clave de seguridad y protección, poniendo a prueba su inclinación por las alucinaciones, la precisión de los hechos, el sesgo, el daño y la resistencia al jailbreak, al mismo tiempo que protege los sistemas de inteligencia artificial de los problemas tradicionales.
La semana pasada, XM Cyber de Schwarz Group reveló nuevas formas de escalar privilegios dentro de Agent Engine y Ray de Google Cloud Vertex AI, lo que subraya la necesidad de que las empresas auditen cada cuenta de servicio o identidad adjunta a sus cargas de trabajo de IA.
«Estas vulnerabilidades permiten a un atacante con permisos mínimos secuestrar agentes de servicio con altos privilegios, convirtiendo efectivamente estas identidades administradas 'invisibles' en 'agentes dobles' que facilitan la escalada de privilegios», investigadores Eli Shparaga y Erez Hasson dicho.
La explotación exitosa de las fallas del agente doble podría permitir a un atacante leer todas las sesiones de chat, leer memorias LLM y leer información potencialmente confidencial almacenada en depósitos de almacenamiento u obtener acceso raíz al clúster de Ray. Dado que Google afirma que los servicios actualmente «funcionan según lo previsto», es esencial que las organizaciones revisen las identidades con la función de Visor y garanticen que existan controles adecuados para evitar la inyección de código no autorizado.
El desarrollo coincide con el descubrimiento de múltiples vulnerabilidades y debilidades en diferentes sistemas de IA.
- Fallos de seguridad (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 y CVE-2026-0616) en The Librarian, una herramienta de asistente personal impulsada por IA proporcionada por TheLibrarian.io, que habilitar a un atacante para acceder a su infraestructura interna, incluida la consola del administrador y el entorno de la nube, y, en última instancia, filtrar información confidencial, como metadatos de la nube, procesos en ejecución dentro del backend y avisos del sistema, o iniciar sesión en su sistema backend interno.
- Una vulnerabilidad que demuestra cómo se pueden extraer las indicaciones del sistema de los asistentes de LLM basados en intenciones solicitándoles que muestren la información en formato codificado en Base64 en los campos del formulario. «Si un LLM puede ejecutar acciones que escriben en cualquier campo, registro, entrada de base de datos o archivo, cada uno se convierte en un canal de exfiltración potencial, independientemente de cuán bloqueada esté la interfaz de chat», dijo Praetorian.
- Un ataque que demuestra como un complemento malicioso subido a un mercado para Anthropic Claude Code se puede utilizar para evitar las protecciones de los humanos a través de manos y exfiltrar los archivos de un usuario mediante una inyección indirecta.
- Una vulnerabilidad crítica en Cursor (CVE-2026-22708) que permite la ejecución remota de código mediante inyección indirecta de avisos al explotar una supervisión fundamental en cómo los IDE agentes manejan los comandos integrados del shell. «Al abusar de las funciones integradas implícitamente confiables del shell, como exportar, componer y declarar, los actores de amenazas pueden manipular silenciosamente variables de entorno que posteriormente envenenan el comportamiento de herramientas de desarrollo legítimas», Pillar Security dicho. «Esta cadena de ataque convierte comandos benignos y aprobados por el usuario, como git branch o python3 script.py, en vectores de ejecución de código arbitrarios».
Un análisis de seguridad de cinco IDE de codificación de Vibe, a saber. Cursor, Claude Code, OpenAI Codex, Replit y Devin, que encontraron agentes de codificación, son buenos para evitar inyecciones de SQL o fallas XSS, pero tienen dificultades cuando se trata de manejar problemas de SSRF, lógica de negocios y hacer cumplir la autorización adecuada al acceder a las API. Para empeorar las cosas, ninguna de las herramientas incluía protección CSRF, encabezados de seguridad o limitación de la tasa de inicio de sesión.
La prueba destaca los límites actuales de la codificación de vibraciones y muestra que la supervisión humana sigue siendo clave para abordar estas brechas.
«No se puede confiar en los agentes codificadores para diseñar aplicaciones seguras», Ori David de Tenzai dicho. Si bien pueden producir código seguro (en algunas ocasiones), los agentes constantemente no implementan controles de seguridad críticos sin una guía explícita. Cuando los límites no están claros (flujos de trabajo de lógica empresarial, reglas de autorización y otras decisiones de seguridad matizadas), los agentes cometerán errores».
Fuente