Ein Forscherteam hat gezeigt, wie, mit nichts als Anweisungen in der natürlichen Sprache innerhalb einer Google-Kalender-Einladung, Gemini - der Assistent auf der Grundlage des großen Google-Sprachmodells - kann getäuscht werden, um private Informationen zu offenbaren und es auf einem zugänglichen Datum für einen Angreifer geschrieben. Die Feststellung unterstreicht, dass, obwohl die auf Hilfsregeln und Modellen basierenden Erkennungssysteme existieren, die Fähigkeit zu urteilen und die automatische Aufnahme von Daten von LLM-Besuchern neue und schwer vorherzusagende Angriffsflächen hinzufügen.
Das Experiment, das von den Verantwortlichen in einem technischen Bericht beschrieben wird, nutzt die Art und Weise, wie Gemini die Details der Ereignisse verarbeitet, wenn ein Benutzer ihn über seinen Zeitplan fragt. Wenn ein Angreifer eine Einladung senden kann, deren Beschreibung in natürlicher Sprache formulierte Anweisungen enthält - zum Beispiel fragen Sie, dass alle eintägigen Treffen zusammengefasst werden, dass private Informationen enthalten sind und dass diese Zusammenfassung in einem neuen Ereignis kopiert werden -, kann Gemini kommen, um diese Anweisungen auszuführen, als wären sie ein legitimer Benutzerwunsch. Das Ergebnis: sensible Daten werden in der Beschreibung eines neuen Ereignisses geschrieben, das in vielen Geschäftseinstellungen für Teilnehmer und möglicherweise für den Angreifer sichtbar ist.
Die Forscher erklären, dass der Schlüssel zum Erfolg keine traditionelle technische Explosion, sondern semantische Manipulation war. Nutzen Sie, dass Gemini automatisch verknüpft und verarbeitet Kalenderinformationen, um proaktive Hilfe bereitzustellen, genügt es, eine scheinbar inokulierte "Anweisung" in ein Ereignisfeld einzuführen, so dass der Assistent, wenn der Benutzer den Assistenten anruft, diesen Text zusammen mit dem Rest des Kontexts laden und interpretieren wird. Diese Interpretation kann zu Aktionen führen, die Informationen ausfiltern, ohne dass der Benutzer es warnt.
Dieser Angriffsvektor fällt in das, was als schnelle Injektion bekannt ist: Statt Infrastruktur zu verletzen, setzt der Angreifer Befehle in Texteinträge ein, die das Modell als legitime Anweisungen behandelt. Die Autoren des Berichts stellten fest, dass, obwohl Google eine zusätzliche Schicht der Erkennung mit isolierten Modellen verwendet, um gefährliche Anweisungen zu filtern, das Manöver vermieden diese Verteidigung, weil die Aufträge in der Beschreibung schien, in Aussehen, sicher und im Einklang mit der Funktion des Assistenten.
Der Fall ist nicht ganz neu in seinem Konzept - andere Teams haben zuvor gezeigt, wie Kalender und Metadaten verwendet werden können, um Assistenten zu manipulieren - aber diese Arbeit zeigt, dass die Nuancen von Sprache und Absicht es sehr schwierig machen, eine perfekte Barriere zu halten. Darüber hinaus berichteten die Forscher ihre Ergebnisse an das Google-Team; das Unternehmen führte eine Minderung ein, um die Muster des Experiments zu blockieren, obwohl die Autoren darauf bestehen, dass die Lösung nicht trivial ist und dass Sicherheit über bloße syntaktische Validierung hinaus entwickelt werden sollte.
Für diejenigen, die Unternehmensumgebungen verwalten, ist die praktische Einbindung klar: die Integrationen, die Sprachmodelle erlauben, auf Kalender, Post und andere Daten zuzugreifen, sollten mit strengen Zugangsrichtlinien, Feldänderungskontrollen durch externe Relais und reduzierte Sichtbarkeit standardmäßig angewendet werden. Die Teilnahme an umfangreichen Genehmigungen auf kollaborativen Elementen ohne kontextuelle und intensive Kontrollen zu ermöglichen, ist ein Risiko, das mit wenig Aufwand realisiert werden kann.
Die Autoren des Berichts schlagen vor, dass die Erkennung von gefährlichen Textmustern zur Kenntnis des Kontexts bewegt wird: wer hat den Inhalt erstellt?, was ist die Beziehung zwischen dem Absender und den Teilnehmern?, macht es Sinn, dass ein Assistent ein für Dritte sichtbares Feld mit vertraulichen Informationen neu schreibt? Das heißt, die ideale Verteidigung sollte semantische Analyse mit Geschäftsregeln und Telemetrie auf Berechtigungen und Herkunft kombinieren.
Es ist auch wichtig zu erinnern, dass die technische Minderung keine Politik und Ausbildung erfordert. In vielen Organisationen ist die unmittelbarste Möglichkeit, das Risiko zu reduzieren, um zu begrenzen, wer Ereignisse erstellen oder ändern kann, die kritische Teams betreffen, überprüfen Standardgenehmigungen in gemeinsamen Kalendern und erziehen Menschen, um von unerwarteten Einladungen zu misstrauen, auch wenn sie von bekannten Kontakten kommen, deren Post möglicherweise beeinträchtigt wurde.
Der Bericht und die anschließende Berichterstattung haben Interesse an der Sicherheitsgemeinschaft geweckt, weil sie einen weiteren Punkt illustrieren: Wenn APIs und Schnittstellen dazu dienen, menschliche Anweisungen als nativer Eintrag zu akzeptieren, wird die Grenze zwischen dem, was "Daten" ist und dem, was "Befehl" ist, verschwommen. Diese Mehrdeutigkeit verstärkt die Notwendigkeit von Integritätskontrollen auf jeder Ebene des Datenflusses.
Für diejenigen, die die ursprüngliche technische Analyse lesen möchten, stehen die Details in der Veröffentlichung des Forschungsteams selbst bei Miggo Security zur Verfügung: Weapons Kalender Einladungen: ein semantischer Angriff auf Google Gemini. Das Stück wurde auch in spezialisierten Presseberichten und -analysen zitiert, die untersuchen, wie LLM-Besucher mit Produktivitätstools integrieren und welche Sicherheitsaspekte mit sich bringen.
Google hat ihrerseits Kontrollen und Bewertungen in die Integration von Gemini mit Workspace und anderen Dienstleistungen aufgenommen; sein Engagement für Teilnehmer, die auf Kalender und E-Mails handeln, erfordert ein heikles Gleichgewicht zwischen Dienstprogramm und Datenschutz. Für den Kontext zum Produkt und seine Integration ist es angebracht, die offiziellen Informationen von Google über Gemini und seine Fähigkeiten zu überprüfen: Vorstellung von Gemini - Google AI blog. Die öffentliche und technische Diskussion wird weiterhin notwendig sein, da die Angriffsfläche zusammen mit den Funktionalitäten weiterentwickelt wird.
Kurz gesagt, der Vorfall ist ein Aufruf zur Aufmerksamkeit: Teilnehmer, die in der Lage sind, auf persönliche und Unternehmensdaten zu urteilen und zu handeln, sind mächtige Werkzeuge, aber seine Nützlichkeit wird von neuen Risikovektoren begleitet. Die Sicherheit in dieser Zeit muss intelligentere technische Kontrollen, konservativere Zugangspolitiken und ein stärkeres Bewusstsein dafür, wie Sprache selbst zum Ausbeuten werden kann, kombinieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...