Google nekter å fikse en kritisk”ASCII-smugling”-sårbarhet i Gemini AI, og etterlater brukere utsatt for skjulte angrep. Sikkerhetsforskere ved FireTail oppdaget at angripere kan bruke usynlige Unicode-tegn for å bygge inn ondsinnede kommandoer i tekst.
Mens brukere ser harmløse meldinger, utfører Gemini de skjulte instruksjonene. Denne feilen er spesielt farlig i Google Workspace, der den muliggjør automatisk identitetsforfalskning i kalenderinvitasjoner og e-poster.
Til tross for at konkurrenter som OpenAI og Microsoft har rettet lignende problemer, avviste Google rapporten. Selskapet klassifiserte det som sosial ingeniørkunst, ikke en sikkerhetsfeil. Denne avgjørelsen tvinger bedrifter til å forsvare seg mot en kjent, ubegrenset trussel.
Ghosts in the Machine: How ASCII Smuggling Works>
Angrepet, en teknikk kjent som ASCII-smugling, er forankret i den smarte misbruken av Unicode-standarden. Den utnytter en grunnleggende forskjell mellom det en bruker ser på skjermen og rådataene en AI-modell behandler.
Metoden bruker et spesielt sett med usynlige tegn fra Tags Unicode-blokken for å bygge inn skjulte instruksjoner i en tilsynelatende godartet tekststreng, og skaper en potent vektor for umiddelbar injeksjon og dataforgiftning, er typiske brukergrensesnitt ikke gjengitt.
I henhold til Unicode Technical Standard, vil en fullstendig tag-uvitende implementering vise enhver sekvens av tag-tegn som usynlig. Dette skaper den perfekte kamuflasjen for en angriper.
Mens en menneskelig bruker bare ser den uskyldige, synlige teksten, inneholder den underliggende rådatastrømmen en ondsinnet nyttelast gjemt bort inne i disse tegnene som ikke skrives ut.
Store språkmodeller (LLM) har imidlertid ingen problemer med å tolke disse skjulte kommandoene. I motsetning til brukergrensesnittet, er en LLMs inngangs-pre-prosessor designet for å innta råstrenger, inkludert hvert tegn, for å støtte internasjonale standarder.
Fordi disse Unicode-taggene er tilstede i de enorme treningsdataene deres, kan modeller som Gemini lese og handle på dem akkurat som alle andre tekster. Denne teknikken lar en angriper legge til vilkårlig ASCII-tekst til en emoji eller andre karakterer, og effektivt smugle en hemmelig melding forbi enhver menneskelig anmelder.
Resultatet er en kritisk applikasjonslogikkfeil. LLM inntar de rå, upålitelige inndataene og utfører de skjulte kommandoene, mens den menneskelige brukeren, som bare ser den desinfiserte versjonen i brukergrensesnittet, forblir fullstendig uvitende om manipulasjonen.
Dette gapet mellom menneskelig oppfatning og maskinbehandling er kjernen i sårbarheten, og gjør et brukergrensesnitt til en alvorlig sikkerhetsrisiko, som forskere gjentatte ganger har vist<>. Kalender Spoofing til dataforgiftning
Konsekvensene for agentiske AI-systemer er alvorlige. FireTail-forsker Viktor Markopoulos demonstrerte hvordan en angriper kunne sende en Google Kalender-invitasjon med en skjult nyttelast. Denne nyttelasten kan overskrive arrangørens detaljer, forfalske en identitet eller sette inn en ondsinnet lenke.
opptrer som en personlig assistent for Google Gemini, behandler disse forgiftede dataene uten noen brukerinteraksjon utover å motta invitasjonen. Angrepet omgår den typiske «Accept/Decline»-sikkerhetsporten, og gjør AI til en uvitende medskyldig.
Trusselen strekker seg til ethvert system der en LLM oppsummerer eller samler brukerlevert tekst. For eksempel kan en produktanmeldelse inneholde en skjult kommando som instruerer AI om å inkludere en lenke til et svindelnettsted i sammendraget, og effektivt forgifte innholdet for alle brukere.
Risikoen er forsterket for brukere som kobler LLM-er til e-postinnboksene sine. Som Markopoulos forklarte,”for brukere med LLM-er koblet til innboksene sine, kan en enkel e-post med skjulte kommandoer instruere LLM-en til å søke i innboksen etter sensitive elementer eller sende kontaktdetaljer, og gjøre et standard phishing-forsøk til et autonomt datautvinningsverktøy.”
Dette forvandler et standard phishing-forsøk til et langt farligere, automatisert Google-databruddAn FireTails undersøkelse har avdekket et klart skille i bransjens beredskap. Mens Google Gemini, xAIs Grok og DeepSeek alle ble funnet å være sårbare, var det ikke andre store aktører. Modeller fra OpenAI, Microsoft og Anthropic ser ut til å ha implementert inndatasanering som reduserer trusselen. Etter at Markopoulos rapporterte funnene til Google 18. september, avviste selskapet problemet. Den hevdet at angrepet er avhengig av sosial ingeniørkunst, en holdning som har fått kritikk for å bagatellisere den tekniske utnyttelsen i kjernen. Denne posisjonen står i skarp kontrast til andre teknologigiganter. Amazon har for eksempel publisert detaljerte sikkerhetsveiledninger for å forsvare seg mot Unicode-karaktersmugling, og anerkjenner det som en legitim trusselvektor. Googles nektelse av å handle setter bedriftskunder i en prekær posisjon. Uten at det kommer noen oppdatering, blir organisasjoner som bruker Gemini i Google Workspace nå bevisst utsatt for en sofistikert metode for dataforgiftning og identitetsspoofing.
