06.08.2025
1 хв
502
Дослідники з Ізраїлю виявили критичну вразливість у Google Gemini — через звичайне запрошення в календар зловмисники отримували контроль над email, місцезнаходженням і навіть домашніми пристроями.
У серпні 2025 року команда дослідників із Тель-Авівського університету, Technion і SafeBreach представила вражаючу вразливість у Google Gemini. Зловмисники використали промпт-інʼєкцію у запрошеннях Google Calendar або листах Gmail. Коли користувач запитував у Gemini про події чи пошту, штучний інтелект мимоволі виконував приховані команди, вбудовані у назви подій або листів.
Це дозволяло не просто читати особисті email чи відстежувати місцезнаходження, а й запускати відеодзвінки в Zoom, відкривати небезпечні URL-адреси, або керувати пристроями розумного дому. Зловмисники могли активувати опалення, відчиняти вікна чи вимикати світло, використовуючи команди на кшталт:
<tool_code google_home.run_auto_phrase(“Open the window”)>
або
<tool_code android_utilities.open_url(“https://malicious-site.com”)>
Вразливість активується навіть після банального «дякую» користувача — саме так спрацьовує автоматичне виконання команд у фоновому режимі. Найнебезпечніше — розширене проникнення в інші додатки та домашні системи, з використанням “Utilities Agent”, що володіє правами доступу до системного рівня.
Дослідники описали пʼять типів атак: тимчасове отруєння контексту, постійна зміна памʼяті, зловживання інструментами, автоматичне викликання агентів та додатків. Ці методи дозволяють використовувати LLM-архітектуру Gemini як вектор проникнення — без потреби в експлойтах класичного типу. Google визнала проблему та впровадила захисні механізми після відповідального розкриття вразливості, однак експерти закликають до посиленого аудиту взаємодії ІІ з особистими та IoT-даними.
Цей інцидент доводить, що штучний інтелект — це не лише цифрова загроза, а й фізична, коли інтеграція з IoT дозволяє перетворити домашнього помічника на інструмент зламу. Уразливість Google Gemini стала яскравим прикладом нової епохи атак — Promptware, де вразливим є не код, а поведінка самої моделі. Щоб захистити себе, користувачам і розробникам необхідно впроваджувати sandbox-режими, обмежувати автоматичні дії та перевіряти джерела інформації, що обробляє LLM.
