Google corregge le vulnerabilità "Gemini Trifecta" nella suite Gemini AI

I ricercatori di sicurezza informatica di Tenable hanno recentemente scoperto tre falle di sicurezza critiche nella suite di assistenti di intelligenza artificiale Gemini di Google , che hanno soprannominato "Gemini Trifecta". Queste vulnerabilità, rese pubbliche intorno al 1° ottobre 2025, hanno esposto Gemini a tempestive iniezioni ed esfiltrazioni di dati, esponendo gli utenti al rischio di furto dei propri dati personali.

Questi problemi hanno origine da vulnerabilità in tre componenti distinti del sistema Gemini. I ricercatori hanno dimostrato ciascuna vulnerabilità con attacchi Proof-of-Concept (PoC) riusciti. Ecco una panoramica dettagliata delle falle rilevate:

Questa falla consentiva l'iniezione di prompt tramite la manipolazione della cronologia di ricerca di Chrome di un utente. I ricercatori hanno dimostrato con successo questo meccanismo utilizzando un ingegnoso trucco JavaScript di un sito web dannoso per scrivere un prompt nascosto nella cronologia di navigazione della vittima.

Quando l'utente interagiva in seguito con la funzione di ricerca personalizzata dell'IA, il comando inserito poteva costringere Gemini a divulgare dati sensibili, come le informazioni salvate e la posizione dell'utente.

Questo strumento riassume i log del cloud . Un aggressore potrebbe incorporare un prompt dannoso in una voce di log, possibilmente tramite il campo HTTP User-Agent di una richiesta web. Quando la vittima utilizza lo strumento di assistenza per riassumere il log, il prompt nascosto potrebbe attivarsi, segnalando con successo un tentativo di phishing che potrebbe portare ad azioni non autorizzate sulle risorse cloud.

Questa funzionalità riassume i contenuti web in tempo reale. I ricercatori hanno dimostrato di poter aggirare le difese esistenti di Google convincendo Gemini a utilizzare la sua funzionalità di navigazione per inviare i dati privati ​​dell'utente (come la posizione) a un server esterno.

Il PoC, disponibile nel post del blog di Tenable, ha addirittura utilizzato la funzionalità Show Thinking di Gemini per tracciare i passaggi, confermando che lo strumento stava effettuando una richiesta in uscita contenente le informazioni della vittima.

La buona notizia è che Google ha risolto con successo tutti e tre i problemi da quando Tenable li ha segnalati. L'azienda ha rimediato alle falle ripristinando i modelli vulnerabili, bloccando il rendering di collegamenti ipertestuali dannosi in strumenti come Cloud Assist e implementando una strategia di difesa a più livelli per prevenire future esfiltrazioni di dati.

I rischi derivanti dalla Gemini Trifecta rientrano in una tendenza che dimostra come gli assistenti AI stiano rapidamente diventando l'anello debole della sicurezza. Questa preoccupazione è stata rafforzata da una ricerca separata di SafeBreach Labs, recentemente riportata da Hackread.com, che ha dimostrato che un attacco di iniezione rapida simile potrebbe essere lanciato utilizzando un normale invito di Google Calendar.

Sebbene il rischio immediato con Gemini Trifecta sia basso grazie alla rapida risposta di Google, questa scoperta ribadisce ulteriormente la costante necessità di essere cauti riguardo alle informazioni che si condividono con qualsiasi strumento di intelligenza artificiale.

"La Gemini Trifecta di Tenable rafforza l'idea che gli agenti stessi diventano il veicolo di attacco quando viene loro concessa troppa autonomia senza sufficienti protezioni", ha affermato Itay Ravia , responsabile di Aim Labs, in un commento a Hackread.com.

"Il modello è chiaro: log, cronologie di ricerca e strumenti di navigazione sono tutte superfici di attacco attive. Sfortunatamente, la maggior parte dei framework le tratta ancora come innocue. Si tratta di debolezze intrinseche nel modo in cui sono progettati gli agenti odierni e continueremo a vederle riemergere su diverse piattaforme finché le protezioni runtime non saranno ampiamente implementate", ha aggiunto.