Google łata luki w zabezpieczeniach „Gemini Trifecta” w pakiecie Gemini AI

Badacze ds. cyberbezpieczeństwa z Tenable odkryli niedawno trzy krytyczne luki w zabezpieczeniach pakietu asystentów AI Gemini firmy Google , który nazwali „Gemini Trifecta”. Luki te, ujawnione publicznie około 1 października 2025 r., naraziły Gemini na natychmiastowe wstrzyknięcie i eksfiltrację danych, narażając użytkowników na ryzyko kradzieży danych osobowych.

Problemy te wynikają z luk w zabezpieczeniach trzech odrębnych komponentów systemu Gemini. Badacze zademonstrowali każdą z luk w zabezpieczeniach za pomocą udanych ataków typu Proof-of-Concept (PoC). Oto szczegółowy przegląd wykrytych luk:

Ta luka umożliwiała wstrzyknięcie podpowiedzi poprzez manipulację historią wyszukiwania użytkownika w Chrome. Badaczom udało się to zademonstrować, wykorzystując sprytny trik JavaScript ze złośliwej witryny, który polegał na wpisaniu ukrytego podpowiedzi do historii przeglądania ofiary.

Gdy użytkownik później wchodził w interakcję z funkcją spersonalizowanego wyszukiwania AI, wstrzyknięte polecenie mogło zmusić Gemini do wycieku poufnych danych, takich jak zapisane informacje i lokalizacja użytkownika.

To narzędzie podsumowuje logi w chmurze . Atakujący może osadzić złośliwy monit we wpisie logu, prawdopodobnie za pośrednictwem pola HTTP User-Agent w żądaniu internetowym. Gdy ofiara użyła narzędzia pomocy do podsumowania tego logu, ukryty monit mógł zostać aktywowany, skutecznie wskazując na próbę phishingu, która mogłaby prowadzić do nieautoryzowanych działań w zasobach w chmurze.

Ta funkcja podsumowuje treści internetowe na żywo. Naukowcy wykazali, że mogą ominąć istniejące zabezpieczenia Google, przekonując Gemini do wykorzystania funkcji przeglądania w celu przesłania prywatnych danych użytkownika (takich jak lokalizacja) na zewnętrzny serwer.

PoC, dostępny na blogu Tenable, wykorzystywał nawet funkcję Show Thinking narzędzia Gemini do śledzenia kroków, potwierdzając, że narzędzie wysyłało żądanie wychodzące zawierające informacje o ofierze.

Dobra wiadomość jest taka, że ​​Google pomyślnie naprawiło wszystkie trzy problemy, odkąd Tenable powiadomiło firmę o nich. Firma usunęła wady, wycofując podatne modele, zatrzymując renderowanie złośliwych hiperłączy w narzędziach takich jak Cloud Assist oraz wdrażając wielowarstwową strategię obrony przed wstrzyknięciem kodu w całym pakiecie, aby zapobiec przyszłej eksfiltracji danych.

Zagrożenia związane z atakiem Gemini Trifecta wpisują się w trend, który pokazuje, że asystenci AI szybko stają się najsłabszym ogniwem w zabezpieczeniach. Obawy te zostały wzmocnione przez niezależne badania SafeBreach Labs, opublikowane niedawno przez Hackread.com, które wykazały, że podobny atak typu instant injection można przeprowadzić za pomocą zwykłego zaproszenia z Kalendarza Google.

Choć bezpośrednie ryzyko związane z Gemini Trifecta jest niewielkie ze względu na szybką reakcję Google, to odkrycie to dodatkowo podkreśla potrzebę zachowania ostrożności przy udostępnianiu informacji narzędziom wykorzystującym sztuczną inteligencję.

„Gemini Trifecta firmy Tenable pokazuje, że agenci sami stają się narzędziem ataku, gdy otrzymają zbyt dużą autonomię bez wystarczających zabezpieczeń” — powiedział Itay Ravia , szef Aim Labs, w komentarzu dla Hackread.com.

„Wzór jest jasny: logi, historie wyszukiwania i narzędzia do przeglądania stron internetowych to aktywne powierzchnie ataku. Niestety, większość frameworków nadal traktuje je jako niegroźne. To wewnętrzne słabości w sposobie tworzenia dzisiejszych agentów i będziemy ich nadal obserwować na różnych platformach, dopóki zabezpieczenia środowiska uruchomieniowego nie zostaną powszechnie wdrożone” – dodał.