Cybersecurity-Forscher haben eine Schwachstelle offenbart, die die Konversationsfähigkeit von Sprachmodellen nutzt, um eine scheinbar harmlose Funktionalität in einen Daten-Escape-Kanal umzuwandeln. Laut dem von Miggo Security geteilten technischen Bericht erlaubte das Urteil einem schädlichen Schauspieler, ein Fragment der Instruktion in der Beschreibung einer Google Calendar Einladung zu verstecken, so dass der IA-Assistent - in diesem Fall Google Gemini - interpretierte und ausgeführte Aktionen, die sensible Informationen ohne das Opfer bewusst mit der Falle interagieren. Miggo beschreibt wie die Angriffskette gewebt wurde.
In der Praxis erstellte der Angreifer ein legitimes Kalenderereignis und platzierte in seinem Bereich der Beschreibung eine in der natürlichen Sprache geschriebene Anleitung, die vom Modell verstanden werden soll. Als der Benutzer Gemini etwas banal über seine Agenda fragte - zum Beispiel, wenn er am Dienstag Meetings hatte - analysierte das Modell alle relevanten Einträge, fand die schädliche Einladung und folgte der versteckten Anweisung: eine Zusammenfassung von Sitzungen zu erstellen und ein neues Ereignis zu erstellen, das diese Zusammenfassung in seiner Beschreibung enthielt. Im Angesicht des Benutzers könnte die Antwort harmlos erscheinen, während, zwischen den Bambalines fand ein Leck statt Daten von privaten Treffen.
Der entscheidende Punkt ist, wie die Richtlinien der Sichtbarkeit und Konfiguration von Kalendern in Unternehmen diese Technik zu einem Instrument der Spionage machen können. In vielen Organisationen können Ereignisse, die innerhalb einer Domain entstehen oder von Kalenderadressen geteilt werden, für Dritte oder für Konten mit minimalen Genehmigungen sichtbar sein, so dass der Angreifer auf den neuen Eintrag zugreifen kann, der die exfilterten Informationen enthält, ohne dass das Opfer seine Offenlegung ausdrücklich bestellt. Nach der für das Ergebnis verantwortlichen Kommunikation hat Google Korrekturen angewendet, aber der Vorfall lässt eine klare Lektion: Konversationsschnittstellen erweitern die Angriffsfläche über den traditionellen Code hinaus.
Dieser Fall ist nicht isoliert. In den letzten Wochen hat sich viele Forschung ergeben, die Variationen des gleichen Problems zeigt: Agenten und Assistenten, die, wenn sie in Aufzeichnungen, Datenbanken, Formularfelder oder externe Ressourcen schreiben können, diese Objekte in Fluchtkanäle verwandeln können. Kontinuierliche Modellprüfungs- und Bewertungsinstrumente wie Phare de Giskard sie empfehlen nicht nur Präzision und Vorspannung zu messen, sondern auch Widerstand gegen Eingabe- und Performance-Manipulationen in der Zeit der Ausführung.
Darüber hinaus hat die Gemeinschaft konzeptionell verwandte Angriffe dokumentiert. Varonis sprach zum Beispiel über einen getauften "Reprompt" Ansatz, der erforscht, wie die Teilnehmer aufgefordert werden können, sensible Daten mit einem einzigen Klick zu enthüllen, während andere Teams Vektoren gezeigt haben, die Privilegien auf Cloud-managed IA-Plattformen skalieren lassen. XM Cyber präsentierte einen Bericht darüber, wie scheinbar harmlose Service-Identitäten "doppelte Agenten" werden können, die die Eskalation von Privilegien in Google Cloud Vertex AI Umgebungen erleichtern, was die Notwendigkeit unterstreicht, Service-Konten und zugewiesene Berechtigungen zu überprüfen. Ihre Analyse Details, wie Identitäten mit begrenzten Berechtigungen mit hohen Auswirkungen betrieben werden können.
Fehler wurden auch in persönlichen Assistenten und Agentenplattformen beobachtet, die Zugriff auf Verwaltungskonsolen oder Cloud-Metadaten ermöglichen. Die librarianische Sicherheitsanfälligkeit informiert über eine Reihe von CVE, die Zugang zu internen Infrastrukturen und sensiblen Daten bieten, eine Erinnerung, dass personalisierte Assistenten wieder Türen werden können, wenn sie nicht richtig isoliert sind. Aufzeichnung von Vorfällen und Analyse Was? nützliche technische Informationen für Verteidigungsteams enthalten.
Unabhängige Forschung hat auch gezeigt, wie die Fähigkeit eines Modells, in einem Feld zu schreiben, ausgenutzt werden kann, um seine eigene "System-Prompt" wiederherzustellen oder um Informationen in Formaten wie Base64 zu codieren und dann durch Ausgänge, die auf den ersten Blick, benign. Praetorian z.B. demonstrierte Techniken, um Ansagen aus dem System zu extrahieren, wenn der Assistent in strukturierten Feldern schreiben kann, und warnte, dass jeder Schreibpunkt ein möglicher Fluchtkanal ist. Ihr Studium betont diesen Vektor.
Das Ökosystem von Plugins und Markenplätzen für Teilnehmer hat auch Risiken gezeigt: ein schädliches Plugin in einem Verzeichnis veröffentlicht kann, durch Haken oder Integrationen, menschliche Überprüfung Mechanismen und Kanalinformationen außerhalb der vorgesehenen Umgebung zu vermeiden. Es gibt öffentliche Beispiele, die zeigen, wie diese Erweiterungen verwendet werden können, um Schutz zu entfernen und Benutzerdateien zu stehlen. Um den Mechanismus und seine Abschwächung zu verstehen, ist es angebracht, die Analyse wie PromptArmor und die Dokumentation von Anthropic, wie die Haken im Claude Code funktionieren: Offizielle Dokumentation.
Ein besonders technischer Fall zeigte, wie Agenten, die Entwicklungsumgebungen integrieren, kooptiert werden können: Pillar Security beschreibt eine Schwachstelle in Cursor, die eine Remote-Ausführung durch Manipulation von internen Shell-Befehlen erlaubt, dass die Agenten als zuverlässige, transformierende Aktionen, die vom Entwickler in willkürliche Ausführungsvektoren erlaubt. Die CVE und die Analyse der Angriffskette zeigen die Fragilität von implizit vertrauensvollen Umweltverhalten. Die Mitteilung in GitHub und den Bericht der Sicherheit der Pillen die technischen Details.
Bei der Umsetzung dieser Ergebnisse zeigte eine vergleichende Studie von Codiermitteln, dass sie zwar klassische Angriffe wie SQL- oder XSS-Injektionen relativ oft vermeiden, in der Business-Logik neigen sie dazu, Probleme der SSRF und der Zulassung zu versagen, und viele Implementierungen fehlen grundlegende Schutzrechte wie CSRF oder Authentifizierungsgrenzen. Diese Bewertung betont, dass die menschliche Aufsicht kritisch bleibt und dass, wie Ori David von Tenzai warnt, Agenten das menschliche Urteil in komplexen Sicherheitsentscheidungen ohne explizite Richtlinien nicht ersetzen können. Ihre Analyse ist eine empfohlene Lesung für Teams, die Entwicklungsassistenten bereitstellen.
Was sollen dann Organisationen tun? Es gibt keine magische Pille: eine Kombination aus sicherem Design, strenge Genehmigung Einschränkungen, kontinuierliche Prüfung von Identitäten und Handlungen von Agenten, widrige Tests einschließlich semantische Injektionen und vor allem das Prinzip des kleinen Privilegs auf jede Fähigkeit, die zu schreiben oder Ressourcen zu schaffen erlaubt. Die Sicherheit von IA-Systemen ist nicht mehr nur eine Frage von Patches im Code; es ist auch die Sprachsteuerung und Leistungskontrolle in der Zeit der Ausführung. Modellbewertungstools, Cloud-Konfigurationsbewertungen und verantwortungsvolle Outreach-Programme sind der Schlüssel zur Risikoreduktion.
Zu einer Zeit, in der die "native IA"-Funktionen in Business-Anwendungen multipliziert werden, sollte daran erinnert werden, dass jede Gesprächsschnittstelle oder Automatisierung einen neuen Vektor hinzufügt, der seine eigene Verteidigungsschicht verdient. Die Schwachstelle in Gemini und verwandten Vorfällen ist ein Aufruf zur Aufmerksamkeit: Sicherheit muss sich auf das Tempo der Innovation entwickeln, und das ist, Engineering, Überwachung und Ausbildung für die AAs zu kombinieren, um zu tun, was sie - und nur das - in produktiven Umgebungen tun sollten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...