- Araştırmacılar Google Takvim davetleri aracılığıyla Gemini AI istem enjeksiyonunu keşfetti
- Saldırganlar minimum kullanıcı etkileşimiyle özel toplantı verilerine sızabilir
- Güvenlik açığı azaltılarak acil kullanım riski azaltıldı
Güvenlik araştırmacıları, anında enjeksiyon saldırıları gerçekleştirmenin başka bir yolunu daha buldu GoogleGemini AI, bu sefer hassas bir şekilde dışarı sızacak Google Takvim veri.
İstem enjeksiyonu, kötü niyetli aktörün, normalde zararsız bir mesajdaki bir istemi gizlediği bir saldırı türüdür. Kurban bunu söylediğinde yapay zeka Mesajı analiz etmek (veya başka bir şekilde kendi çalışmasında veri olarak kullanmak) için yapay zeka, istemi çalıştırır ve aktörün teklifini yerine getirir.
Özünde, yapay zekalar talimat ile bu talimatı yürütmek için kullanılan veriler arasında ayrım yapamadığı için hızlı enjeksiyon mümkündür.
İkizler ve Takvimi Kötüye Kullanmak
Şimdiye kadar, hızlı enjeksiyon saldırıları e-posta mesajlarıyla ve e-postaları özetleme veya okuma talimatlarıyla sınırlıydı. Miggo Security, son araştırmasında aynı şeyin Google Takvim aracılığıyla da yapılabileceğini söyledi.
Bir kişi takvim girişi oluşturduğunda e-posta adresini ekleyerek diğer katılımcıları davet edebilir. Bu senaryoda, bir tehdit aktörü, kötü amaçlı istemi içeren (takvim verilerini sızdırmak için) bir takvim girişi oluşturabilir ve kurbanı davet edebilir. Davet daha sonra istemleri içeren bir e-posta biçiminde gönderilir. Bir sonraki adım, kurbanın yapay zekasına yaklaşan olayları kontrol etmesi talimatını vermesidir.
Yapay zeka, istemi ayrıştıracak, ayrıntıları içeren yeni bir Takvim etkinliği oluşturacak ve saldırganı ekleyerek doğrudan hassas bilgilere erişim izni verecek.
Araştırmacılar The Hacker News’e şunları söyledi: “Bu bypass, özel toplantı verilerine yetkisiz erişime ve herhangi bir doğrudan kullanıcı etkileşimi olmadan yanıltıcı takvim etkinliklerinin oluşturulmasına olanak sağladı.”
Miggo, “Ancak perde arkasında Gemini yeni bir takvim etkinliği oluşturdu ve hedef kullanıcımızın özel toplantılarının tam bir özetini etkinliğin açıklamasına yazdı” dedi. “Birçok kurumsal takvim yapılandırmasında, yeni etkinlik saldırgan tarafından görülebiliyordu ve saldırganın, hedef kullanıcı herhangi bir işlem yapmadan sızdırılan özel verileri okumasına olanak tanıyordu.”
Miggo, sorunun o zamandan beri hafifletildiğini doğruladı.
Aracılığıyla TheHackerHaberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler, video biçimindeki kutu açılışları için ve bizden düzenli olarak güncellemeler alın WhatsApp fazla.