Googleは、Gemini AIの重要な「ASCII密輸」の脆弱性を修正することを拒否しており、ユーザーは隠された攻撃にさらされています。 Firetailのセキュリティ研究者は、攻撃者が目に見えないUnicode文字を使用してテキストに悪意のあるコマンドを埋め込むことができることを発見しました。この欠陥は、Googleワークスペースで特に危険です。カレンダーの招待状と電子メールでの自動化されたIDのスプーフィングを可能にします。
OpenaiやMicrosoftなどの競合他社が同様の問題にパッチを当てているにもかかわらず、Googleはレポートを却下しました。同社は、セキュリティバグではなく、ソーシャルエンジニアリングとして分類しました。この決定により、企業は既知の、免除されていない脅威から身を守るように強制します。 ASCII密輸として知られるテクニックである攻撃は、巧妙な乱用に根ざしています。ユーザーが画面で見ているものと生データとAIモデルのプロセスとの根本的な格差を活用します。
この方法は、タグユニコードブロックから目に見えない文字の特別なセットを使用して、一見妥当なテキスト内に隠された命令を埋め込んで、迅速なインジェクションとデータ中毒のための強力なベクターを作成します。 unicode技術標準によれば、完全にタグと想定のある実装は、タグ文字のシーケンスを目に見えないように表示します。 これにより、攻撃者に最適なカモフラージュが作成されます。
人間のユーザーは無邪気で目に見えるテキストのみを見ていますが、基礎となる生データストリームには、これらの非印刷文字内に隠された悪意のあるペイロードが含まれています。ユーザーインターフェイスとは異なり、LLMの入力前プロセッサは、すべての文字を含む生文字列を摂取して国際的な基準をサポートするように設計されています。
これらのユニコードタグは膨大なトレーニングデータに存在するため、ジェミニのようなモデルは他のテキストと同じように読み、行動できます。この手法により、攻撃者は絵文字または他のキャラクターに任意のASCIIテキストを追加し、人間のレビュアーを通り過ぎて秘密のプロンプトを効果的に密輸することができます。
結果は、重要なアプリケーションロジック欠陥です。 LLMは生で信頼できない入力を摂取して隠されたコマンドを実行しますが、人間のユーザーはUIで消毒されたバージョンのみを見ることは操作に完全に気づかないままです。中毒
エージェントAIシステムへの影響は深刻です。 Firetail Researcher Viktor Markopoulosは、攻撃者が隠されたペイロードでGoogleカレンダーの招待状を送信する方法を示しました。このペイロードは、オーガナイザーの詳細を上書きし、アイデンティティをスプーフィングする、または不正なリンクを挿入する
脅威は、LLMがユーザーがサプリしたテキストを要約または集約するシステムにまで及びます。たとえば、製品レビューには、AIに詐欺Webサイトへのリンクを要約に含めるように指示する隠されたコマンドが含まれており、すべてのユーザーのコンテンツを効果的に中毒します。 Markopoulosが説明したように、「Inboxに接続されているLLMSを持つユーザーの場合、隠されたコマンドを含む簡単な電子メールは、LLMに敏感なアイテムを検索または連絡先の詳細を検索するように指示します。標準的なフィッシングの試みを自律データ抽出ツールに変えます。」業界
Firetailの調査により、業界の準備における明確な格差が明らかになりました。 Google Gemini、Xai’s Grok、およびDeepseekはすべて脆弱であることがわかっていましたが、他の主要なプレーヤーはそうではありませんでした。 Openai、Microsoft、およびAnthropicのモデルは、脅威を軽減する入力消毒を実装しているように見えます。攻撃はソーシャルエンジニアリングに依存していると主張しました。ソーシャルエンジニアリングは、そのコアで技術的なエクスプロイトを軽視したことに対する批判を引き起こしたスタンスです。たとえば、Amazonは、Unicodeキャラクターの密輸に対する防御に関する詳細なセキュリティガイダンスを公開しており、それを正当な脅威ベクターとして認めています。パッチが近づいていないため、Google Workspace内でGeminiを使用している組織は、データ中毒とアイデンティティスプーフィングの洗練された方法に故意にさらされています。
