Gemini wyciekło dane przez... wpis w kalendarzu

Badacze z HiddenLayer odkryli lukę w Gemini, która przypomina scenariusz z filmu szpiegowskiego. Jeden wpis w kalendarzu — i AI Google'a wysyła prywatne dane prosto do hakerów.

Bez malware. Bez phishingu. Po prostu kalendarz.

Jak to w ogóle działa?

ktoś wysyła Ci zaproszenie kalendarzowe. Normalny wpis, nic podejrzanego. W opisie wydarzenia kryje się jednak spreparowana komenda.

Prosisz Gemini: "Co mam dzisiaj?". AI czyta wpis. I wykonuje ukrytą instrukcję.

Efekt? Twoje prywatne wiadomości, dokumenty czy inne dane lecą na zewnętrzny serwer kontrolowany przez atakującego.

To się nazywa "prompt injection" — wstrzyknięcie komendy. Jakbyś przemycił do rozmowy z AI sekretny rozkaz. Ty go nie widzisz, ale AI posłusznie wykonuje.

Co dokładnie wyciekło?

Badacze przetestowali scenariusz na Gmail. Gemini miało dostęp do wiadomości, kalendarza i dokumentów w Google Drive.

Wynik? AI wyciągnęło prywatne informacje i wysłało na zewnątrz. Użytkownik nic nie zauważył.

Problem nie tkwi tylko w Gemini — to fundamentalna słabość wszystkich dużych modeli językowych (ChatGPT, Claude, cała banda). Nie potrafią rozróżnić, co jest prawdziwą komendą od użytkownika, a co podstępem ukrytym w danych, które przetwarzają.

Google zareagował. Ale czy to koniec?

Po zgłoszeniu przez HiddenLayer, Google wzmocnił zabezpieczenia Gemini. Szczegółów technicznych nie podano — standard w branży, żeby nie ułatwiać życia hakerom.

Czy problem zniknął?

Niekoniecznie.

Prompt injection to nie błąd w kodzie, który można załatać jedną aktualizacją. To strukturalna cecha działania AI. Model językowy przetwarza tekst — i nie ma wbudowanego mechanizmu, który pewnie odróżniłby "dane" od "komend".

Eksperci od cyberbezpieczeństwa mówią wprost: to będzie problem na lata. Póki AI czytają i interpretują tekst, będą podatne na manipulację przez tekst.

Dlaczego to tak niebezpieczne?

Bo ataki są niewidoczne.

Nie musisz klikać w podejrzany link. Nie musisz instalować niczego. Wystarczy, że AI przeczyta spreparowaną treść — w kalendarzu, emailu, dokumencie.

I co gorsza: nie masz jak się bronić. Nie widzisz ukrytej komendy. Nie dostajesz ostrzeżenia. Po prostu prosisz AI o pomoc, a ono — nieświadomie — działa na rzecz atakującego.

To zmienia zasady gry. Tradycyjne metody ochrony (antywirusy, firewalle) tu nie pomogą. Atak działa na poziomie logiki AI, nie kodu.

Co to oznacza dla Ciebie?

Jeśli używasz Gemini — lub innego AI z dostępem do Twoich danych — pamiętaj:

• AI nie rozumie kontekstu bezpieczeństwa. Wykonuje polecenia, które "widzi" w tekście
• Uważaj, komu dajesz dostęp do kalendarza czy dokumentów
• Nie ufaj ślepo odpowiedziom AI, zwłaszcza gdy prosi Cię o nietypowe działania

Google pracuje nad rozwiązaniem, ale to wyścig zbrojeń. Hakerzy już testują nowe warianty ataków. Producenci AI łatają dziury. I tak w kółko.

Dla Ciebie najważniejsze: świadomość ryzyka. AI to potężne narzędzie — ale nie nieomylne. I zdecydowanie nie tak bezpieczne, jak mogłoby się wydawać.

Źródła

• T3N