A
A Google megtagadja a kritikus „ASCII csempészet” sebezhetőségének javítását az Ikrei AI-ben, így a felhasználók rejtett támadásoknak vannak kitéve. A Fireetail által felfedezett támadók biztonsági kutatói láthatatlan Unicode karaktereket használhatnak a rosszindulatú parancsok beágyazására a szövegbe. Ez a hiba különösen veszélyes a Google munkaterületén, ahol lehetővé teszi az automatizált személyazonosság-hamisítást a naptári meghívókban és az e-mailekben. A társaság szociális mérnöknek minősítette, nem pedig biztonsági hibának. Ez a döntés arra készteti a vállalkozásokat, hogy megvédjék magukat egy ismert, nem zavaró fenyegetés ellen. Az ASCII csempészet néven ismert technika az okos bántalmazás bántalmazása. Kihasználja az alapvető különbségeket, amelyeket a felhasználó lát a képernyőn és a nyers adatoknak egy AI modell folyamatát. A Unicode Technikai Szabvány szerint egy teljesen címkék-megvalósítás jelenik meg a címkek karaktereinek bármely sorrendjét. Ez tökéletes álcázást hoz létre a támadó számára. A felhasználói felülettől eltérően, az LLM bemeneti előfeldolgozója úgy van kialakítva, hogy nyers karakterláncokat, beleértve a karaktert is, a nemzetközi szabványok támogatására is,
Mivel ezek az Unicode címkék jelen vannak a hatalmas képzési adataikban, az olyan modellek, mint a Gemini, olvashatnak és csak úgy viselkedhetnek rajtuk, mint bármely más szöveg. Ez a technika lehetővé teszi a támadó számára, hogy tetszőleges ASCII szöveget hozzárendeljen egy hangulatjelekhez vagy más karakterekhez, és hatékonyan csempész egy titkos promptot bármely emberi recenzens mellett.
Az eredmény kritikus alkalmazás logikai hibája. Az LLM beveszi a nyers, nem megbízható bemenetet és végrehajtja a rejtett parancsokat, míg az emberi felhasználó, csak az UI fertőtlenített változatát látja, továbbra sem ismeri a manipulációt. Az adatmérgezéshez való hamisítás
Az agentikus AI rendszerek következményei súlyos. A Fireetail kutatója, Viktor Markopoulos bemutatta, hogy a támadó rejtett hasznos teherrel küldhet egy Google Naptár meghívót. Ez a hasznos teher felülírja a szervező adatait, egy személyazonosságot, vagy egy személyi malius linket helyez el. Ez a megmérgezett adatok felhasználói interakció nélkül a meghíváson túl. A támadás megkerüli a tipikus „elfogadás/elutasítás” biztonsági kaput, az AI-t akaratlan bűnrészessé változtatva. Például egy termék-áttekintés tartalmazhat egy rejtett parancsot, amely arra utasítja az AI-t, hogy tartalmazzon egy linket a SCAM webhelyre az összefoglalójában, hatékonyan megmérgezve a tartalmat minden felhasználó számára. Amint Markopoulos elmagyarázta: „A beérkező levelekhez csatlakoztatott LLM-ekkel rendelkező felhasználók számára egy egyszerű e-mail rejtett parancsokkal utasíthatja az LLM-et, hogy keresse meg az érzékeny elemeket, vagy küldje el az elérhetőségeket, és egy szabványos adathalászkísérletet autonóm adatkivonási eszközré alakítson.”Állási és az iparág
Fireetail vizsgálata egyértelműen megoszlott az ipar felkészültségében. Míg a Google Gemini, az Xai Grok és a DeepSeek kiszolgáltatottnak bizonyultak, más nagyobb szereplők nem voltak. Úgy tűnik, hogy az Openai, a Microsoft és az Antropic modelljei végrehajtották a fenyegetést enyhítő bemeneti fertőtlenítést. Azt állította, hogy a támadás a szociális mérnöki mérnöki munkára támaszkodik, amely kritikát vonzott a technikai kizsákmányolás alapvető kizsákmányolására. Az Amazon például részletes biztonsági útmutatást tett közzé az Unicode karaktercsempészet elleni védekezésről, elismerve ezt legitim fenyegetésvektorként. A javítás nélkül a Gemini-t használó szervezetek a Google Workspace-en most már tudatosan ki vannak téve az adatmérgezés és az identitás hamisításának kifinomult módszerének.