Saugumo ekspertai atskleidė pavojingą Google Gemini dirbtinio intelekto spragą, kuri leidžia kibernetiniams nusikaltėliams manipuliuoti Gmail el. pašto santraukomis sukčiavimo tikslais. Grėsmė gali paveikti daugiau nei 1,8 milijardo Gmail vartotojų visame pasaulyje.
Ataka išnaudoja Google Gemini AI funkciją, integruotą į Gmail ir kitas Google paslaugas. Kai vartotojai spusteli mygtuką „Apibendrinti šį el. laišką”, sukčiai gali priversti dirbtinį intelektą generuoti klaidinančius saugumo įspėjimus ar svarbius pranešimus.
Saugumo tyrėjas Jose Figueroa iš Mozilla 0din komandos pademonstravo, kaip įsilaužėliai gali paslėpti kenkėjiškas instrukcijas el. laiškuose, naudodami tokias technikas kaip:
- Balto teksto naudojimas baltame fone
- Šrifto dydžio sumažinimas iki nulio
- Kitas paslėptas formatavimas
Šie metodai slepia kenkėjiškas komandas nuo žmonių akių, tačiau daro jas matomas dirbtinio intelekto įrankiams.
Grėsmės pobūdis
Klaidinantys el. laiškai gali įspėti vartotojus apie tariamą Gmail paskyrų įsilaužimą, dažnai pateikdami suklastotą Google palaikymo telefono numerį. Skambindami šiuo numeriu, vartotojai patenka tiesiai į sukčių rankas, o ne į teisėtą palaikymo tarnybą.
Kaip pavyzdį, Figueroa sukūrė el. laišką, kuris priverčia Gemini rodyti pranešimą, informuojantį auką, kad jų Gmail slaptažodis buvo pažeistas, ir ragina skambinti telefono numeriu slaptažodžiui iš naujo nustatyti.
Google atsakas
Google atstovai patvirtino BleepingComputer, kad kai kurie saugumo sprendimo būdai yra diegiami arba bus įdiegti netrukus. Bendrovė teigia, kad nėra gavusi įrodymų apie realius incidentus, kurie manipuliuotų Gemini tokiu būdu, kokiu pademonstravė Figueroa tyrimas.
Apsaugos priemonės vartotojams
Saugumo ekspertai rekomenduoja:
- Svarbi informacija gyventojams apie atsiskaitymo pokyčius – nuo 2026 m. keisis euro banknotai
- Nuo rugpjūčio 1 dienos pokyčiai kurie palies kiekvieną keliautoją. Jei dar nežinote, pats metas sužinoti
- Kas važinėja automobiliais su vidaus degimo varikliais – ruoškitės! Prognozuojama džiugi žinia
- Latviams už įnešimus bankomate, viršijančius 750 eurų, teks atsiskaityti mokesčių inspekcijai
- Kaip telefonas sužino, kur jūs esate – net be interneto ir GPS
- Nepasitikėkite Gemini saugumo įspėjimais – tikri įspėjimai iš šio dirbtinio intelekto įrankio neatskleidžiami
- Būkite atsargūs su skubiais pranešimais – ypač tais, kuriuose raginama spustelėti nuorodas ar kontaktinius numerius
- Koreguokite el. pašto nustatymus – blokuokite arba pažymėkite paslėptą turinį, pvz., nulinį šrifto dydį
- Nustatykite filtrus – aptinkite neįprastus modelius, pvz., pernelyg skubius pranešimus ar įtartinus URL adresus
- Tikrinkite pranešimus oficialiuose šaltiniuose – nenaudokite dirbtinio intelekto generuojamų pranešimų kaip vienintelio informacijos šaltinio
Platesnis poveikis
Grėsmė neapsiriboja tik Gmail ir paveiks integraciją su Google dokumentais, kalendoriumi ir trečiųjų šalių programomis. Kol Google neištaisys šios spragos, kibernetiniai nusikaltėliai greičiausiai ir toliau ja naudosis.
Šis incidentas atskleidžia platesnes dirbtinio intelekto saugumo problemas, nes vis daugiau įmonių integruoja AI funkcijas į savo produktus, potencialiai atidarydamos naujas atakas galimybes.
Vartotojams patariama ištrinti visus abejotinus el. pašto santraukas ir visada patikrinti pranešimus oficialiuose Google šaltiniuose, nepasikliaujant dirbtinio intelekto generuojamais pranešimais.
