Η Google αρνείται να διορθώσει μια κρίσιμη ευπάθεια”λαθρεμπορίου ASCII”στο Gemini AI, αφήνοντας τους χρήστες να εκτεθούν σε κρυφές επιθέσεις. Οι ερευνητές ασφαλείας στο Firetail που ανακάλυψαν ότι οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν αόρατους χαρακτήρες Unicode για να ενσωματώσουν κακόβουλες εντολές σε κείμενο. Αυτό το ελάττωμα είναι ιδιαίτερα επικίνδυνο στο χώρο εργασίας του Google, όπου επιτρέπει την αυτοματοποιημένη πλαστογράφηση ταυτότητας σε προσκλήσεις και μηνύματα ηλεκτρονικού ταχυδρομείου στην ημερολόγιο. Η εταιρεία την ταξινόμησε ως κοινωνική μηχανική, όχι ως σφάλμα ασφαλείας. Αυτή η απόφαση αναγκάζει τις επιχειρήσεις να υπερασπιστούν τους εαυτούς τους ενάντια σε μια γνωστή, αθόρυβη απειλή. Η επίθεση, μια τεχνική γνωστή ως λαθρεμπόριο ASCII, έχει τις ρίζες του στο έξυπνο κατάχρηση του Unicode Standard . Εκμεταλλεύεται μια θεμελιώδη ανισότητα ανάμεσα σε αυτό που βλέπει ένας χρήστης στην οθόνη του και τα ακατέργαστα δεδομένα ένα μοντέλο AI. Σύμφωνα με το Τεχνικό πρότυπο Unicode , μια πλήρως ετικέτα-unaware υλοποίηση θα εμφανίσει οποιαδήποτε ακολουθία χαρακτήρων ετικετών ως αόρατο. Αυτό δημιουργεί το τέλειο καμουφλάζ για έναν εισβολέα. Σε αντίθεση με τη διεπαφή χρήστη, ο προ-επεξεργαστής εισροών της LLM έχει σχεδιαστεί για την κατάποση ακατέργαστων χορδών, συμπεριλαμβανομένου κάθε χαρακτήρα, για να υποστηρίξει τα διεθνή πρότυπα. Αυτή η τεχνική επιτρέπει σε έναν εισβολέα να προσθέτει αυθαίρετο κείμενο ASCII σε ένα emoji ή άλλους χαρακτήρες, ουσιαστικά λαθρεμπόριο μιας μυστικής προτροπής που παρευρέθηκε από οποιονδήποτε ανθρώπινο αναθεωρητή.
Το αποτέλεσμα είναι ένα κρίσιμο λογικό ελάττωμα. Το LLM καταναλώνει την ακατέργαστη, μη αξιόπιστη είσοδο και εκτελεί τις κρυμμένες εντολές, ενώ ο ανθρώπινος χρήστης, βλέποντας μόνο την απολυμαντική έκδοση στο UI, παραμένει εντελώς αγνοώντας τους ερευνητές που δείχνουν επαναλαμβανόμενες. Η απομάκρυνση σε δηλητηρίαση δεδομένων
Οι συνέπειες για τα συστήματα AI AI είναι σοβαρές. Ο ερευνητής του Firetail Viktor Markopoulos κατέδειξε πώς ένας εισβολέας θα μπορούσε να στείλει μια πρόσκληση ημερολογίου Google με ένα κρυφό ωφέλιμο φορτίο. This payload could overwrite the organizer’s details, spoofing an identity, or insert a malicious link.
Google Gemini, acting as a personal assistant, processes Αυτά τα δηλητηριασμένα δεδομένα χωρίς καμία αλληλεπίδραση χρήστη πέρα από τη λήψη της πρόσκλησης. Η επίθεση παρακάμπτει την τυπική πύλη ασφαλείας”αποδοχής/παρακμής”, μετατρέποντας το AI σε έναν απρόσιτο συνεργό. Για παράδειγμα, μια ανασκόπηση του προϊόντος θα μπορούσε να περιέχει μια κρυφή εντολή που δίνει εντολή στο AI να συμπεριλάβει έναν σύνδεσμο σε έναν ιστότοπο απάτης κατά τη σύνοψη, δηλητηρίαση του περιεχομένου για όλους τους χρήστες. Όπως εξήγησε ο Μαρκόπουλος,”Για τους χρήστες με LLMS που συνδέονται με τα εισερχόμενά τους, ένα απλό μήνυμα ηλεκτρονικού ταχυδρομείου με κρυμμένες εντολές μπορεί να δώσει εντολή στο LLM να αναζητήσει τα εισερχόμενα για ευαίσθητα στοιχεία ή να στέλνουν στοιχεία επικοινωνίας, μετατρέποντας μια τυπική απόπειρα”phishing σε ένα πιο επικίνδυνο εργαλείο εξάτμισης δεδομένων.”Στάση εναντίον της βιομηχανίας
Η έρευνα του Firetail αποκάλυψε ένα σαφές χάσμα στην ετοιμότητα του κλάδου. Ενώ το Google Gemini, το Xai’s Grok και το Deepseek βρέθηκαν όλοι ευάλωτοι, άλλοι μεγάλοι παίκτες δεν ήταν. Τα μοντέλα από την OpenAI, τη Microsoft και το Anthropic φαίνεται να έχουν εφαρμόσει εξυγίανση εισροών που μετριάζουν την απειλή. Ισχυρίστηκε ότι η επίθεση βασίζεται στην κοινωνική μηχανική, μια στάση που έχει ασκήσει κριτική για την υποβάθμιση της τεχνικής εκμετάλλευσης στον πυρήνα της. Η Amazon, για παράδειγμα, δημοσίευσε λεπτομερή καθοδήγηση ασφαλείας σχετικά με την υπεράσπιση του λαθρεμπορίου χαρακτήρων του Unicode, αναγνωρίζοντάς τον ως νόμιμο διάνυσμα απειλής. Χωρίς επικείμενη patch, οι οργανισμοί που χρησιμοποιούν Gemini στο χώρο εργασίας του Google είναι τώρα εν γνώσει εκτεθειμένοι σε μια εκλεπτυσμένη μέθοδο δηλητηρίασης από δεδομένα και πλαστογράφηση ταυτότητας.
