Новая волна исследований показывает: внедрение генеративного ИИ в повседневные сервисы приносит куда больше пользы киберпреступникам и компаниям, стремящимся сократить расходы, чем реальным пользователям. Особенно тревожной оказалась ситуация с Gmail. Исследователи выяснили, что ИИ-система Google Gemini, отвечающая за автоматические сводки писем, легко взламывается с помощью тривиальной атаки на основе подмены подсказки.
Как сообщили исследователи компании Mozilla, уязвимость позволяет злоумышленникам использовать стандартный HTML и CSS для внедрения скрытых инструкций в тело письма — текст задаётся белым цветом размером 0, то есть становится невидимым для человека, но не для ИИ. Gemini «послушно» исполняет спрятанный запрос и включает его в итоговую сводку письма.
Метод представил исследователь Марко Фигероа на площадке 0din — баг-баунти-программе Mozilla, ориентированной на уязвимости в генеративных ИИ-сервисах. В демонстрации использовалось письмо, якобы предупреждающее пользователя о взломе аккаунта и предлагающее позвонить по номеру и назвать «код подтверждения». Таким образом, автоматическая сводка Gemini превращается в надёжный и доверительный вектор фишинга.
Хотя атака требует действий от пользователя, в том числе звонка, последствия могут быть серьёзными: речь идёт о возможности кражи данных через голосовые фишинговые схемы. И это лишь начало — по словам исследователей, тот же метод работает в «Документах», «Таблицах» и поиске «Google Диск», а значит, может использоваться для массового заражения через официальные письма, автоответчики и корпоративные рассылки.
Исследователь сравнил новый тип атак с классическими макросами в документах:
«Подмены подсказок — это новые email-макросы».
Особую опасность создаёт то, что пользователи склонны доверять ИИ-сводкам: они кажутся официальными, беспристрастными и «умными».
В ответ на публикацию уязвимости Google заявила, что внедряет многоуровневую систему защиты от подобных атак во всех сервисах Gemini. Но исследователи подчёркивают: пока это всего лишь реакция, а не полноценная защита. Тот факт, что столь примитивный приём оказался действенным, заставляет серьёзно усомниться в готовности искусственного интеллекта к реальному применению в продуктах, с которыми ежедневно работают миллионы людей.
Ещё по теме:
- Поколение Z больше не говорит «алло» когда берёт трубку
- iPhone 17 получит поддержку 25-ваттной беспроводной зарядки с аксессуарами стандарта Qi 2.2
- iPhone 17: титановый корпус получит лишь одна модель — и это совсем не Pro
