Saugumo ekspertai atskleidė pavojingą Google Gemini dirbtinio intelekto spragą, kuri leidžia kibernetiniams nusikaltėliams manipuliuoti Gmail el. pašto santraukomis sukčiavimo tikslais. Grėsmė gali paveikti daugiau nei 1,8 milijardo Gmail vartotojų visame pasaulyje.
Ataka išnaudoja Google Gemini AI funkciją, integruotą į Gmail ir kitas Google paslaugas. Kai vartotojai spusteli mygtuką „Apibendrinti šį el. laišką”, sukčiai gali priversti dirbtinį intelektą generuoti klaidinančius saugumo įspėjimus ar svarbius pranešimus.
Saugumo tyrėjas Jose Figueroa iš Mozilla 0din komandos pademonstravo, kaip įsilaužėliai gali paslėpti kenkėjiškas instrukcijas el. laiškuose, naudodami tokias technikas kaip:
- Balto teksto naudojimas baltame fone
- Šrifto dydžio sumažinimas iki nulio
- Kitas paslėptas formatavimas
Šie metodai slepia kenkėjiškas komandas nuo žmonių akių, tačiau daro jas matomas dirbtinio intelekto įrankiams.
Grėsmės pobūdis
Klaidinantys el. laiškai gali įspėti vartotojus apie tariamą Gmail paskyrų įsilaužimą, dažnai pateikdami suklastotą Google palaikymo telefono numerį. Skambindami šiuo numeriu, vartotojai patenka tiesiai į sukčių rankas, o ne į teisėtą palaikymo tarnybą.
Kaip pavyzdį, Figueroa sukūrė el. laišką, kuris priverčia Gemini rodyti pranešimą, informuojantį auką, kad jų Gmail slaptažodis buvo pažeistas, ir ragina skambinti telefono numeriu slaptažodžiui iš naujo nustatyti.
Google atsakas
Google atstovai patvirtino BleepingComputer, kad kai kurie saugumo sprendimo būdai yra diegiami arba bus įdiegti netrukus. Bendrovė teigia, kad nėra gavusi įrodymų apie realius incidentus, kurie manipuliuotų Gemini tokiu būdu, kokiu pademonstravė Figueroa tyrimas.
Apsaugos priemonės vartotojams
Saugumo ekspertai rekomenduoja:
- Nuo rugsėjo 1 d. negalėsite išsigryninti grynųjų pinigų iš bankomato, jei elgsitės „neįprastai“
- Kinija paleido didžiausią pasaulyje vėjo turbiną: ji turėjo poveikį, kurio niekas nesitikėjo
- „Geriau šių automobilių nepirkti“, – sako 30 metų patirtį turintis mechanikas
- Nuo 2026 m. numatomi eurų banknotų pokyčiai – ką gyventojai turi žinoti
- Nuo spalio 1 d. elektros vartotojų laukia pokyčiai – „Nord Pool“ elektros biržoje kaina bus nustatoma kas 15 minučių
- Nepasitikėkite Gemini saugumo įspėjimais – tikri įspėjimai iš šio dirbtinio intelekto įrankio neatskleidžiami
- Būkite atsargūs su skubiais pranešimais – ypač tais, kuriuose raginama spustelėti nuorodas ar kontaktinius numerius
- Koreguokite el. pašto nustatymus – blokuokite arba pažymėkite paslėptą turinį, pvz., nulinį šrifto dydį
- Nustatykite filtrus – aptinkite neįprastus modelius, pvz., pernelyg skubius pranešimus ar įtartinus URL adresus
- Tikrinkite pranešimus oficialiuose šaltiniuose – nenaudokite dirbtinio intelekto generuojamų pranešimų kaip vienintelio informacijos šaltinio
Platesnis poveikis
Grėsmė neapsiriboja tik Gmail ir paveiks integraciją su Google dokumentais, kalendoriumi ir trečiųjų šalių programomis. Kol Google neištaisys šios spragos, kibernetiniai nusikaltėliai greičiausiai ir toliau ja naudosis.
Šis incidentas atskleidžia platesnes dirbtinio intelekto saugumo problemas, nes vis daugiau įmonių integruoja AI funkcijas į savo produktus, potencialiai atidarydamos naujas atakas galimybes.
Vartotojams patariama ištrinti visus abejotinus el. pašto santraukas ir visada patikrinti pranešimus oficialiuose Google šaltiniuose, nepasikliaujant dirbtinio intelekto generuojamais pranešimais.
