Основы Интернет - технологий.

Исследователи из компании Miggo Security нашли способ обойти защиту Google Gemini от промпт-инжектов, используя обычные приглашения в «Календаре». Атака позволяла похищать приватные данные, просто отправляя жертвам приглашения с вредоносным содержимым. Суть атаки весьма проста: злоумышленник отправляет цели приглашение с описанием, которое содержит промпт-инжект. Когда жертва обращается к Gemini с вопросом о своем расписании, ИИ-ассистент загружает и парсит все события, включая вредоносное. После этого Gemini послушно выполняет инструкции из инжекта, и они приводят к утечке пользовательских данных. Специалисты сумели обмануть Gemini, передавая ему инструкции на естественном языке. Так, ИИ-помощник получал команду собрать информацию обо всех запланированных встречах за конкретный день (включая приватные), создать новое событие в календаре с этой информацией в описании и ответить пользователю безобидным сообщением. «Поскольку Gemini автоматически обрабатывает данные событий, злоумышленник может внедрить в поле описания инструкции на естественном языке, которые модель впоследствии может выполнить», — объясняют исследователи. Когда Gemini выполнял скрытые инструкции из вредоносного приглашения, он создавал новое событие, а в его описании записывал конфиденциальную информацию. Исследователи отмечают, что во многих корпоративных системах обновленное описание видно всем участникам события, то есть злоумышленники могли получить доступ к конфиденциальным данным компаний. Хотя Google использует отдельную, изолированную модель для обнаружения вредоносных промптов, эта атака успешно обошла защитный механизм, поскольку инструкции казались безопасными. Это не первый случай, когда исследователям удается реализовать промпт-инжекты через Google Calendar. Еще в августе 2025 года специалисты SafeBreach продемонстрировали, что вредоносное приглашение из «Календаря» позволяет удаленно захватывать контроль над агентами Gemini, работающими на устройстве жертвы, и похищать пользовательские данные. Эксперты Miggo Security поделились информацией об обнаруженной проблеме с Google, и в компании утверждают, что уже внедрили новые меры защиты для блокировки подобных атак. При этом исследователи вообще порекомендовали разработчикам перейти от синтаксического обнаружения угроз к контекстно-ориентированной защите. В официальном комментарии изданию BleepingComputer представитель Google подчеркнул, что компания использует многоуровневую стратегию безопасности для защиты от инъекций промптов. Один из механизмов — запрос явного подтверждения от пользователя перед созданием события в календаре. Это должно предотвратить автоматические утечки данных через создаваемые Gemini приглашения.