Google kieltäytyy korjaamasta kriittistä “ASCII-salakuljetusta”haavoittuvuutta Gemini AI: ssä, jättäen käyttäjät alttiiksi piilotetuille hyökkäyksille. Firetailin havaitsemien hyökkääjien turvallisuustutkijat voivat käyttää näkymättömiä Unicode-merkkejä upottamaan haitallisia komentoja tekstissä.
Kun käyttäjät näkevät vaarattomia viestejä, Kaksoset suorittavat piilotetut ohjeet. Tämä virhe on erityisen vaarallinen Google-työtilassa, jossa se mahdollistaa automatisoidun henkilöllisyyden huijaamisen kalenterikutsuissa ja sähköpostiviesteissä.
Huolimatta kilpailijoista, kuten OpenAi ja Microsoft, korjaamalla samanlaisia kysymyksiä, Google hylkäsi raportin. Yhtiö luokitteli sen sosiaaliseen tekniikkaan, ei turvallisuusvirheeksi. Tämä päätös pakottaa yritykset puolustamaan itseään tunnettua, määrittelemättömää uhkaa.
Hyökkäys, ASCII-salakuljetuksena kutsuttu tekniikka, juurtuu Clever
Menetelmä käyttää erityistä näkymättömiä merkkejä tunnisteista Unicode-lohko upottaakseen piilotettuja ohjeita näennäisesti hyvänlaatuisen tekstin merkkijonon, voimakkaan vektorin luominen kehotettuihin injektioihin ja tietoliittymiin. Unicode-tekninen standardi Täysin tag-Unaware-toteutus näyttää kaiken näkymättömän tunnisteen sekvenssin. Tämä luo täydellisen naamioinnin hyökkääjälle. Vaikka ihmisen käyttäjä näkee vain viattoman, näkyvän tekstin, taustalla oleva raakatietovirta sisältää haitallisen hyötykuorman, joka on kiinnitetty näihin painostamattomiin hahmoihin. Toisin kuin käyttöliittymä, LLM: n syöttöprosessori on suunniteltu nauttimaan raa’ista kielistä, mukaan lukien jokainen merkki, kansainvälisten standardien tukemiseksi. Koska nämä Unicode-tunnisteet ovat läsnä heidän laajassa koulutustietossaan, malleja, kuten Gemini, voivat lukea ja toimia niihin aivan kuten muutkin teksteihin. Tämän tekniikan avulla hyökkääjä voi liittää mielivaltaisen ASCII-tekstin hymiöihin tai muihin hahmoihin, salakuljettaa salaisen kehotuksen minkä tahansa ihmisen arvioijan ohi. Tulos on kriittinen sovelluslogiikan virhe. LLM nauttii raa’an, epäluotettavan panoksen ja suorittaa piilotetut komennot, kun taas ihmisen käyttäjä, joka näkee vain käyttöliittymän desinfioidun version, pysyy täysin tietämättä manipuloinnista. Tämä ihmisen havaitsemisen ja koneen käsittelyn välinen kuilu on haavoittuvuuden ydin, joka kääntää käyttöliittymän. Huijaus datamyrkytykseen
Vaikutukset agenttien AI-järjestelmiin ovat vakavia. Firetail-tutkija Viktor Markopoulos osoitti, kuinka hyökkääjä voisi lähettää Google-kalenterikuvan piilotetulla hyötykuormalla. Tämä hyötykuorma voisi Orgaattorin yksityiskohdat. Tämä myrkytetty tieto ilman käyttäjän vuorovaikutusta, joka oli kutsun vastaanottamisen jälkeen. Hyökkäys ohittaa tyypillisen “hyväksyä/hylkää”-turvaportin, kääntämällä AI: n tahattomaan osakumppaniksi. uhka ulottuu mihin tahansa järjestelmään, jossa LLM on esittänyt tai yhdistää käyttäjän toimittaman tekstin. Esimerkiksi tuotekatsaus voisi sisältää piilotetun komennon, joka kehottaa AI: tä sisällyttämään linkin SCAM-verkkosivustoon sen tiivistelmässä, myrkyttäen tehokkaasti kaikkien käyttäjien sisältöä. riski on vahvistettu käyttäjille, jotka yhdistävät LLMS: n sähköpostilaatikoilleen. Kuten Markopoulos selitti, “LLM: ien käyttäjille, joilla on LLMS heidän postilaatikoihinsa, yksinkertainen piilotetut komennot voivat kehottaa LLM: ää etsimään arkaluonteisia esineitä tai lähettämään yhteystietoja kääntämällä tavanomaisen tietojenkalasteluyrityksen autonomiseksi datan poistotyökaluksi.”Asenne vs. teollisuus
Firetailin tutkimus on paljastanut selkeän kuilun alan valmistautumisessa. Vaikka Google Geminin, Xai’s Grokin ja DeepSeekin todettiin olevan haavoittuvia, muut suuret toimijat eivät olleet. Openain, Microsoftin ja antropian mallit näyttävät toteuttaneen uhkaa lieventävän panosten puhdistamista. Se väitti, että hyökkäys perustuu sosiaaliseen tekniikkaan, asenteeseen, joka on herättänyt kritiikkiä sen ytimessä olevan teknisen hyväksikäytön vähentämisestä. Tämä asema on ristiriidassa muiden tekniikan jättiläisten kanssa. Esimerkiksi Amazon on julkaissut yksityiskohtaiset tietoturvaohjeet puolustamisesta Unicode-hahmojen salakuljetukseen, tunnustaen sen laillisena uhkavektorina. Googlen kieltäytyminen toimimasta jättää yritysasiakkaat epävarmaan asemaan. Google Workspacessa Geminiä käyttäviä organisaatioita ei tule nyt tietoisesti alttiiksi hienostuneelle datamyrkytysmenetelmälle ja identiteetti-huijaukselle.
