Google weigert een kritieke’ASCII-smokkel’-kwetsbaarheid in zijn Gemini AI op te lossen, waardoor gebruikers worden blootgesteld aan verborgen aanvallen. Beveiligingsonderzoekers bij FireTail ontdekten dat aanvallers onzichtbare Unicode-tekens kunnen gebruiken om kwaadaardige opdrachten in tekst in te sluiten.
Terwijl gebruikers onschuldige berichten zien, voert Gemini de verborgen instructies uit. Deze fout is vooral gevaarlijk in Google Workspace, waar het geautomatiseerde identiteitsspoofing in agenda-uitnodigingen en e-mails mogelijk maakt.
Ondanks dat concurrenten als OpenAI en Microsoft vergelijkbare problemen hebben opgelost, heeft Google het rapport afgewezen. Het bedrijf classificeerde het als social engineering en niet als een beveiligingsbug. Deze beslissing dwingt bedrijven zichzelf te verdedigen tegen een bekende, regelrechte dreiging.
Ghosts in the Machine: hoe ASCII-smokkel werkt
De aanval, een techniek die bekend staat als ASCII-smokkel, is geworteld in het slimme misbruik van de Unicode-standaard. Het maakt gebruik van een fundamentele ongelijkheid tussen wat een gebruiker op zijn scherm ziet en de onbewerkte gegevens die een AI-model verwerkt.
De methode gebruikt een speciale set onzichtbare tekens uit het Tags Unicode-blok om verborgen instructies in te sluiten in een ogenschijnlijk goedaardige reeks tekst, waardoor een krachtige vector ontstaat voor snelle injectie en gegevensvergiftiging.
Deze speciale tekens worden doorgaans niet weergegeven in gebruikersinterfaces. Volgens de Unicode Technical Standard zal een volledig tag-onbewuste implementatie elke reeks tag-tekens als onzichtbaar weergeven. Dit creëert de perfecte camouflage voor een aanvaller.
Terwijl een menselijke gebruiker alleen de onschuldige, zichtbare tekst ziet, bevat de onderliggende ruwe datastroom een kwaadaardige lading weggestopt in deze niet-afdrukbare tekens.
Grote Taalmodellen (LLM’s) hebben echter geen problemen met het interpreteren van deze verborgen opdrachten. In tegenstelling tot de gebruikersinterface is de invoer-pre-processor van een LLM ontworpen om onbewerkte tekenreeksen op te nemen, inclusief elk teken, om internationale standaarden te ondersteunen.
Omdat deze Unicode-tags aanwezig zijn in hun enorme trainingsgegevens, kunnen modellen zoals Gemini deze lezen en ernaar handelen, net zoals elke andere tekst. Met deze techniek kan een aanvaller willekeurige ASCII-tekst aan een emoji of andere tekens toevoegen, waardoor een geheime prompt langs elke menselijke recensent wordt gesmokkeld.
Het resultaat is een kritieke fout in de logica van de applicatie. De LLM neemt de onbewerkte, niet-vertrouwde invoer op en voert de verborgen opdrachten uit, terwijl de menselijke gebruiker, die alleen de opgeschoonde versie in de gebruikersinterface ziet, zich totaal niet bewust is van de manipulatie.
Deze kloof tussen menselijke perceptie en machinale verwerking vormt de kern van de kwetsbaarheid, waardoor een UI-eigenaardigheid in een ernstig beveiligingsrisico verandert, zoals onderzoekers herhaaldelijk hebben aangetoond.
Uit Agenda Van spoofing tot gegevensvergiftiging
De implicaties voor agentische AI-systemen zijn ernstig. FireTail-onderzoeker Viktor Markopoulos demonstreerde hoe een aanvaller een Google Agenda-uitnodiging met een verborgen payload kon sturen. Deze payload kan de gegevens van de organisator overschrijven, een identiteit vervalsen of een kwaadaardige link invoegen.
Google Gemini, die optreedt als persoonlijke assistent, verwerkt de deze vergiftigde gegevens zonder enige gebruikersinteractie buiten het ontvangen van de uitnodiging. De aanval omzeilt de typische’Accept/Decline’-beveiligingspoort, waardoor de AI een onwetende medeplichtige wordt.
De dreiging strekt zich uit tot elk systeem waarop een LLM door de gebruiker aangeleverde tekst samenvat of samenvoegt. Een productrecensie kan bijvoorbeeld een verborgen opdracht bevatten die de AI instrueert om een link naar een oplichtingswebsite in de samenvatting op te nemen, waardoor de inhoud effectief voor alle gebruikers wordt vergiftigd.
Het risico wordt vergroot voor gebruikers die LLM’s verbinden met hun e-mailinbox. Zoals Markopoulos uitlegde:”voor gebruikers met LLM’s die zijn verbonden met hun inbox, kan een eenvoudige e-mail met verborgen opdrachten de LLM de opdracht geven om in de inbox te zoeken naar gevoelige items of contactgegevens te verzenden, waardoor een standaard phishing-poging wordt omgezet in een autonome tool voor gegevensextractie.”
Dit verandert een standaard phishing-poging in een veel gevaarlijker, geautomatiseerd datalek.
Een niet-gepatchte fout: die van Google. Standpunt versus de industrie
Het onderzoek van FireTail heeft een duidelijke kloof blootgelegd in de paraatheid van de industrie. Hoewel Google Gemini, Grok van xAI en DeepSeek allemaal kwetsbaar bleken te zijn, waren andere grote spelers dat niet. Modellen van OpenAI, Microsoft en Anthropic lijken invoeropschoning te hebben geïmplementeerd die de dreiging vermindert.
Nadat Markopoulos de bevindingen op 18 september aan Google had gerapporteerd, heeft het bedrijf de kwestie afgewezen. Het argumenteerde dat de aanval berust op social engineering, een standpunt dat kritiek heeft opgeleverd omdat het de technische exploit in de kern bagatelliseert.
Dit standpunt staat in schril contrast met dat van andere technologiegiganten. Amazon heeft bijvoorbeeld gedetailleerde beveiligingsrichtlijnen gepubliceerd over de verdediging tegen smokkel van Unicode-tekens, waarbij het erkent dat dit een legitieme dreigingsvector is.
De weigering van Google om op te treden brengt zijn zakelijke klanten in een precaire positie. Omdat er geen patch beschikbaar komt, worden organisaties die Gemini binnen Google Workspace gebruiken nu bewust blootgesteld aan een geavanceerde methode van gegevensvergiftiging en identiteitsspoofing.
