Uma equipe de pesquisadores tem mostrado como, com nada mais que instruções em linguagem natural dentro de um convite do Google Calendar, pode ser enganado a Gemini - o assistente baseado no grande modelo de linguagem do Google - para revelar informações privadas e deixar escrita em uma citação acessível para um atacante. O achado sublinha que, embora os sistemas de detecção baseados em regras e modelos auxiliares existam, a capacidade de raciocínio e a ingestão automática de dados por parte de assistentes LLM adicionam superfícies de ataque novas e difíceis de prever.
O experimento, descrito pelos responsáveis em um relatório técnico, aproveita a forma como Gemini processa os detalhes dos eventos quando um usuário lhe pergunta por sua agenda. Se um atacante pode enviar um convite cuja descrição contém instruções formuladas em linguagem natural - por exemplo, pedir que todas as reuniões de um dia sejam retomadas, incluindo informações privadas e que esse resumo se copie num novo evento -, Gemini pode chegar a executar essas instruções como se fossem um pedido legítimo do usuário. O resultado: dados sensíveis são escritos na descrição de um evento novo que, em muitas configurações empresariais, fica visível para participantes e possivelmente para o atacante.
Os pesquisadores explicam que a chave do sucesso não foi um exploit técnico tradicional, mas a manipulação semântica. Aproveitando que Gemini liga e processa automaticamente informações de Calendar para oferecer ajuda proativa, basta introduzir uma “instrução” aparentemente inócua em um campo de evento para que, quando o usuário invoque o assistente, este carregue e interprete esse texto junto com o resto do contexto. Essa interpretação pode levar a ações que exfiltram informações sem que o usuário o advierta.
Este vetor de ataque cai dentro do que é conhecido como prompt injection: em vez de violar a infraestrutura, o atacante insere comandos em entradas de texto que o modelo trata como instruções legítimas. Os autores do relatório assinalaram que, embora o Google aplique uma camada adicional de detecção com modelos isolados para filtrar instruções perigosas, a manobra eludiou essas defesas porque as ordens na descrição pareciam, em aparência, seguras e coerentes com a função de assistente.
O caso não é totalmente novo no seu conceito -outros equipamentos já demonstraram como calendários e metadados podem servir para manipular assistentes -, mas este trabalho mostra que as nuances da linguagem e a intenção tornam muito difícil manter uma barreira perfeita. Além disso, os pesquisadores comunicaram seus achados à equipe do Google; a empresa introduziu mitigações para bloquear os padrões utilizados pelo experimento, embora os autores insistem que a solução não é trivial e que a segurança deve evoluir além da mera validação sintática.
Para aqueles que gerem ambientes corporativos, a implicação prática é clara: as integrações que permitem a modelos de linguagem aceder a calendários, correios e outros dados devem ser aplicadas com políticas de acesso rigorosas, controlos de modificação de campos por remetentes externos e visibilidade reduzida por defeito. Permitir que os assistentes atuem com amplas permissões sobre elementos colaborativos sem controles contextuais e de intenção é um risco que pode se materializar com pouco esforço.
Os autores do relatório propõem que a detecção passe de identificar padrões de texto perigosos a ser consciente do contexto: quem criou o conteúdo?, qual é a relação entre o remetente e os participantes?, tem sentido que um assistente reescreve um campo visível para terceiros com informações confidenciais? Ou seja, a defesa ideal deveria combinar análise semântica com regras de negócio e telemetria sobre permissões e origens.
É importante também lembrar que as mitigações técnicas não suplen políticas e formação. Em muitas organizações, a forma mais imediata de reduzir o risco consiste em limitar quem pode criar ou modificar eventos que afetam equipes críticas, rever permissões por defeito em calendários partilhados e educar as pessoas para que desconfíem de convites inesperados, mesmo que provem de contatos conhecidos cujo correio possa ter sido comprometido.
O relatório e a cobertura posterior despertaram interesse na comunidade de segurança porque ilustram um ponto mais amplo: quando as APIs e as interfaces são desenhadas para aceitar instruções humanas como entrada nativa, a fronteira entre o que é “dato” e o que é “comando” torna-se turva. Essa ambiguidade amplifica a necessidade de controles de integridade em cada camada do fluxo de dados.
Para aqueles que querem ler a análise técnica original, os detalhes estão disponíveis na publicação da própria equipe de pesquisa em Miggo Security: Weaponizing Calendar Invites: a semantic attack on Google Gemini. A peça também foi citada em relatórios de imprensa e análise especializados que examinam como os assistentes LLM se integram com ferramentas de produtividade e quais implicações de segurança traz isso.
O Google, por sua vez, foi incorporando controles e revisões nas integrações de Gemini com Workspace e outros serviços; sua aposta por assistentes que atuem sobre calendários e e-mails requer um equilíbrio delicado entre utilidade e proteção de dados. Para contexto do produto e sua integração, convém rever as informações oficiais do Google sobre Gemini e suas capacidades: Introducing Gemini — Google AI blog. A discussão pública e técnica continuará a ser necessária porque a superfície de ataque evoluirá ao par que as funcionalidades.
Em suma, o incidente é uma chamada de atenção: os assistentes capazes de raciocinar e agir sobre dados pessoais e corporativos são ferramentas poderosas, mas sua utilidade vem acompanhada de novos vetores de risco. A segurança nesta era deve combinar controles técnicos mais inteligentes, políticas de acesso mais conservadoras e maior consciência sobre como a linguagem pode se tornar uma via de exploração.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...