Los investigadores de seguridad cibernética han revelado tres vulnerabilidades de seguridad ahora empapadas que afectan al asistente de inteligencia artificial (IA) de Google que, si se explotan con éxito, podría haber expuesto a los usuarios a grandes riesgos de privacidad y robo de datos.
«Hicieron que Gemini sea vulnerable a los ataques de inyección de búsqueda en su modelo de personalización de búsqueda; ataques de inyección de registro a prompto contra Gemini Cloud Assist; y la exfiltración de los datos guardados de información y ubicación del usuario a través de la herramienta de navegación de Gemini,» Investigador de seguridad tenable Liv Matan dicho En un informe compartido con The Hacker News.
Las vulnerabilidades han sido atenuadas colectivamente el Géminis trifecta por la compañía de ciberseguridad. Residen en tres componentes distintos de la suite Géminis –
- Un defecto de inyección inmediata en Asistencia en la nube de Géminis that could allow attackers to exploit cloud-based services and compromise cloud resources by taking advantage of the fact that the tool is capable of summarizing logs pulled directly from raw logs, enabling the threat actor to conceal a prompt within a User-Agent header as part of an HTTP request to a Cloud Function and other services like Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API, and Recommender API
- Una falla de inyección de búsqueda en el Modelo de personalización de búsqueda de gemini Eso podría permitir a los atacantes inyectar indicaciones y controlar el comportamiento de la IA Chatbot para filtrar la información guardada de un usuario y los datos de ubicación manipulando su historial de búsqueda de Chrome usando JavaScript y aprovechando el modelo del modelo incapacidad para diferenciar entre consultas de usuario legítimas y indicaciones inyectadas de fuentes externas
- Una falla de inyección indirecta en la herramienta de navegación de Géminis que podría permitir a los atacantes exfiltrar los datos de información y ubicación guardados de un usuario a un servidor externo al aprovechar las llamadas internas que Gemini hace para resumir el contenido de una página web
Tenable dijo que la vulnerabilidad podría haber sido abusada de incrustar los datos privados del usuario dentro de una solicitud a un servidor malicioso controlado por el atacante sin la necesidad de que Gemini represente enlaces o imágenes.
«Un escenario de ataque impactante sería un atacante que inyecta un aviso de que le indica a Gemini que consulte todos los activos públicos, o que consulte para las configuraciones erróneas de IAM, y luego crea un hipervínculo que contiene estos datos confidenciales», dijo Matan sobre la falla de asistencia en la nube. «Esto debería ser posible ya que Gemini tiene el permiso para consultar activos a través de la API de activos de la nube».
Después de la divulgación responsable, Google ha dejado de representar hipervínculos en las respuestas para todas las respuestas de resumen de registro, y ha agregado más medidas de endurecimiento para proteger contra inyecciones rápidas.
«El Géminis Trifecta muestra que la IA en sí misma puede convertirse en el vehículo de ataque, no solo en el objetivo. Como las organizaciones adoptan la IA, no pueden pasar por alto la seguridad», dijo Matan. «Proteger las herramientas de IA requiere visibilidad de dónde existen en todo el medio ambiente y la aplicación estricta de las políticas para mantener el control».
El desarrollo se produce cuando la plataforma de seguridad de agente, la integridad de la plataforma detalló un nuevo ataque que abusa del agente de inteligencia artificial de la noción para la exfiltración de datos al ocultar instrucciones rápidas en un archivo PDF utilizando texto blanco en un fondo blanco que instruye al modelo a recopilar datos confidenciales y luego enviarlo a los atacantes.
«Un agente con amplio acceso al espacio de trabajo puede encadenar tareas en documentos, bases de datos y conectores externos de manera que RBAC nunca anticipó», la compañía dicho. «Esto crea una superficie de amenaza ampliamente expandida donde los datos o acciones confidenciales pueden exfiltrarse o utilizarse mal a través de flujos de trabajo automatizados de múltiples pasos».
Fuente