Tenable-yhtiön tutkijat paljastivat kolme haavoittuvuutta Google Geminin tekoälyssä, jotka mahdollistivat tietojen varastamisen ja etähyökkäysten suorittamisen. Ongelmat saivat yhteisen nimen Gemini Trifecta ja koskivat eri avustajan moduuleja.
Ensimmäinen virhe löydettiin Gemini Cloud Assist -palvelusta. Lokien analysointiin tarkoitettu mekanismi mahdollisti hyökkääjän piilottaa ohjeita suoraan HTTP-pyyntöön, esimerkiksi User-Agent-kenttään. Tällöin Gemini suoritti tietojen käsittelyn yhteydessä mielivaltaista koodia, jolla oli pääsy Googlen pilvipalveluihin: Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API ja muihin. Tämä avasi mahdollisuuden skannata infrastruktuuria asetusvirheiden varalta tai ladata luettelo käytettävissä olevista resursseista ja lähettää tulokset hyökkääjän palvelimelle.
Toinen haavoittuvuus koski hakujen personointimallia. Se käsitteli käyttäjän hakuhistoriaa Chromessa eikä osannut erottaa omia komentojaan ulkoisesti lisättyistä. Hyökkääjä saattoi sijoittaa sivustolle haitallisen JavaScript-koodin, joka lisäsi hakuhistoriaan ohjeita sisältäviä hakulausekkeita. Myöhemmin, kun Geminiin otettiin yhteyttä, nämä piilotetut komennot tulkittiin käyttäjän hakukyselyiksi, ja avustaja antoi tallennetut tiedot tai maantieteellisen sijainnin hyökkääjälle.
Kolmas haavoittuvuus oli Gemini Browsing Tool -työkalussa. Palvelu teki sisäisen kutsun verkkosivujen sisällön lyhyeksi tiivistelmäksi. Haitallinen koodi käytti tätä mekanismia upottaakseen ohjeet henkilökohtaisten tietojen lähettämisestä hyökkääjien hallinnoimalle palvelimelle. Uhri ei tarvinnut klikata linkkiä tai avata kuvia – kaikki tapahtui automaattisesti sivujen tekstiä käsiteltäessä.
Tenablen arvion mukaan hyökkääjä saattoi yhdistellä menetelmiä ja rakentaa skenaarioita, joissa uhrin henkilökohtaiset tiedot upotettiin ulkoisille palvelimille lähetettyihin pyyntöihin uhrin tietämättä. Yksi vaihtoehto oli logien ohjeiden korvaaminen, mikä pakotti Geminin lataamaan julkisia resursseja tai etsimään virheitä käyttöoikeuksien asetuksista.
Vastuullisen ilmoituksen jälkeen Google poisti hyperlinkkien luomisen vastauksista kaikissa lokien käsittelyyn liittyvissä toiminnoissa ja lisäsi lisäsuojausmekanismeja upotettujen vihjeiden varalta.
Analyytikot korostavat, että Gemini Trifecta -tapaus osoitti uuden uhkavektorin: tekoäly muuttuu hyökkäyksen välineeksi, eikä ole vain sen kohde. Siksi yritysten on otettava huomioon paitsi peruspalveluiden haavoittuvuudet myös tekoälyavustajien toimintamekanismit, joilla on pääsy dataan ja pilvipalveluihin.
Tämän tapauksen taustalla CodeIntegrity-alusta kuvaili toisen esimerkin vastaavista hyökkäyksistä. Sen asiantuntijat löysivät tavan hyödyntää Notion-tekoälyagenttia, jossa ohjeet oli piilotettu PDF-tiedostoon valkoisella tekstillä valkoisella taustalla. Käsitellessään tällaista dokumentaatiota malli sai piilotetun komennon kerätä luottamuksellisia tietoja ja lähettää ne pahantahtoisille tahoille. Tällaiset agentit, joilla on pääsy asiakirjoihin, tietokantoihin ja ulkoisiin liittimiin, muodostavat laajennetun hyökkäyspinnan, jota perinteiset pääsynvalvontajärjestelmät eivät kata.
Näin ollen Google Geminin haavoittuvuudet ja Notionin esimerkki osoittavat, että tekoälyavustajien yleistyminen tekee niistä kätevän kanavan salaiselle tietovuodolle, ja tällaisten järjestelmien turvallisuus vaatii erillistä lähestymistapaa.
