Исследователи по кибербезопасности обнаружили уязвимость в ИИ-помощнике Google Gemini, но компания решила не исправлять проблему. Уязвимость позволяет злоумышленникам использовать подмену символов для атаки на систему, что может привести к искажению данных и выдаче недостоверной информации.

Суть атаки заключается в добавлении специальных символов из блока тегов Unicode в запросы. Эти символы невидимы для пользователя, но распознаются машинами и языковыми моделями. Такой тип атак был известен и раньше, но с появлением ИИ-агентов проблема стала серьезнее.

Раньше для успешной атаки требовалось манипулировать действиями пользователя, заставляя его вручную вставлять подготовленные запросы. Однако современные ИИ-помощники, включая Gemini, имеют доступ к личным данным и могут выполнять задачи самостоятельно, что делает угрозу более реальной.

Виктор Маркопулос, исследователь компании FireTail, протестировал атаки с подменой ASCII на нескольких популярных ИИ-сервисах. По его данным, уязвимыми оказались Google Gemini при вводе данных через «Календарь» и почту, DeepSeek при прямых запросах и xAI Grok при вводе через публикации в X.

В случае с Gemini злоумышленник может создать вредоносный запрос через приглашение в «Календаре», подменить личность организатора встречи и добавить невидимую для пользователя инструкцию для ИИ. При атаке через электронное письмо преступник может заставить ИИ искать конфиденциальную информацию в почтовом ящике и отправлять личные данные.

Если ИИ поручено просматривать веб-сайты, то опасная инструкция может скрываться, например, в описании товара в интернет-магазине. В этом случае пользователь получит от надежного, на первый взгляд, источника ссылку на вредоносный сайт.

Маркопулос продемонстрировал пример такой атаки, направив в Gemini невидимый запрос. В результате помощник передал пользователю ссылку на вредоносный сайт, описывая его как ресурс с недорогими и качественными телефонами.

Исследователь сообщил о своем открытии Google 18 сентября, но компания не признала наличие проблемы. Представители Google заявили, что ошибок в системе безопасности нет, а уязвимость может использоваться только в рамках атак с применением социальной инженерии.

Эксперты в области кибербезопасности считают, что с ростом возможностей ИИ-агентов и их интеграцией в различные сервисы, такие уязвимости требуют более серьезного внимания со стороны разработчиков.