ИИ-ассистенты призваны упростить нашу жизнь, но новое исследование показывает, что даже безобидное приглашение на встречу может превратиться в инструмент шпионажа. Специалисты компании Miggo Security выявили критическую уязвимость во взаимодействии нейросети Google Gemini с Google Календарём. Злоумышленники научились отправлять пользователям приглашения, которые незаметно заставляют искусственный интеллект похищать конфиденциальные данные.
Главная проблема кроется в самой природе помощника: Gemini запрограммирован быть полезным и анализировать расписание. Именно эту особенность эксплуатировали исследователи, обнаружив, что ИИ воспринимает скрытые текстовые инструкции как прямые приказы к действию.
Механика атаки
Согласно отчёту Miggo Security, для взлома не требуются сложные вирусы или фишинговые ссылки. Хакеры используют метод, известный как «инъекция промпта» (Indirect Prompt Injection).
Атака начинается с отправки жертве приглашения на встречу. В поле описания события (где обычно находится повестка дня) злоумышленник внедряет скрытую команду. Эта инструкция приказывает Gemini проанализировать другие встречи пользователя, составить их краткое содержание и сохранить эту информацию в новом событии.
Самое тревожное в этой схеме – её пассивный характер. Жертве не нужно переходить по ссылкам или скачивать файлы. «Бомба» замедленного действия срабатывает в тот момент, когда пользователь задаёт Gemini совершенно обычный вопрос, например: «Свободен ли я в эти выходные?».
Стремясь помочь, Gemini сканирует календарь, считывает описание вредоносной встречи и автоматически выполняет заложенную в нём команду. Используя инструмент Calendar.create, ассистент создаёт новое событие и копирует туда ваши личные данные.
Для пользователя всё выглядит штатно: Gemini просто сообщает: «У вас есть свободное время», пока в фоновом режиме происходит утечка информации. Исследователи подчёркивают, что уязвимость лежит не в программном коде, а в логике работы помощника: «природа» ИИ, готового выполнять просьбы, делает его уязвимым для манипуляций на естественном языке.
Не первый случай: прецедент GeminiJack
Стоит отметить, что это не первая проблема Google с безопасностью её языковых моделей. В декабре 2025 года компания Noma Security обнаружила уязвимость под названием GeminiJack. Она действовала по схожему принципу, используя скрытые команды в Google Docs и электронных письмах для доступа к корпоративным секретам без каких-либо внешних признаков взлома. Эксперты охарактеризовали тот случай как «архитектурную слабость» в том, как корпоративные ИИ-системы интерпретируют входящую информацию.
Хотя Google оперативно устранила конкретную уязвимость, найденную Miggo Security, фундаментальная проблема сохраняется. Традиционные системы безопасности заточены на поиск вредоносного кода, но новые атаки используют «вредоносный язык». Пока ИИ-ассистенты обучаются быть максимально отзывчивыми и полезными, хакеры будут искать способы обратить эту полезность против пользователей.
