Tumanggi ang Google na ayusin ang isang kritikal na”ascii smuggling”na kahinaan sa Gemini AI, na iniiwan ang mga gumagamit na nakalantad sa mga nakatagong pag-atake. Ang mga mananaliksik ng seguridad sa Firetail na natuklasan na mga umaatake ay maaaring gumamit ng hindi nakikita na mga character na Unicode upang mai-embed ang mga nakakahamak na utos sa teksto. Ang kapintasan na ito ay partikular na mapanganib sa Google Workspace, kung saan pinapayagan nito ang awtomatikong pagkakakilanlan ng pagkakakilanlan sa mga paanyaya at email ng kalendaryo. Inuri ito ng kumpanya bilang social engineering, hindi isang security bug. Ang desisyon na ito ay pinipilit ang mga negosyo na ipagtanggol ang kanilang sarili laban sa isang kilalang, hindi napapanahong banta. Ang pag-atake, isang pamamaraan na kilala bilang ascii smuggling, ay nakaugat sa matalino pang-aabuso ng pamantayang unicode . Sinasamantala nito ang isang pangunahing pagkakaiba sa pagitan ng kung ano ang nakikita ng isang gumagamit sa kanilang screen at ang hilaw na data ng isang proseso ng modelo ng AI. Ayon sa unicode Technical standard , isang ganap na tag-unaware pagpapatupad ay magpapakita ng anumang pagkakasunud-sunod ng mga character na tag bilang hindi nakikita. Lumilikha ito ng perpektong pagbabalatkayo para sa isang umaatake. Hindi tulad ng interface ng gumagamit, ang isang pre-processor ng input ng LLM ay idinisenyo upang masikip ang mga hilaw na string, kasama ang bawat karakter, upang suportahan ang mga pamantayang pang-internasyonal. Ang pamamaraan na ito ay nagbibigay-daan sa isang umaatake upang magdagdag ng di-makatwirang teksto ng ASCII sa isang emoji o iba pang mga character, na epektibong na-smuggling ang isang lihim na prompt na nakaraan ang sinumang tao na tagasuri. Ang LLM ay nagtatanim ng hilaw, hindi mapagkakatiwalaang pag-input at isinasagawa ang mga nakatagong mga utos, habang ang gumagamit ng tao, na nakikita lamang ang sanitized na bersyon sa UI, ay nananatiling ganap na hindi alam ang pagmamanipula. Ang spoofing sa pagkalason ng data
Ang mga implikasyon para sa mga ahente ng AI ay malubha. Ipinakita ng firetail researcher na si Viktor Markopoulos kung paano maaaring magpadala ang isang umaatake sa isang paanyaya sa kalendaryo ng Google na may nakatagong kargamento. Ang payload na ito ay maaaring overwrite ang mga detalye ng tagapag-ayos, spoofing isang pagkakakilanlan, o ipasok ang isang nakakahamak na link . pinoproseso ang lason na data na ito nang walang anumang pakikipag-ugnayan ng gumagamit na lampas sa pagtanggap ng paanyaya. Ang pag-atake ay tumatakbo sa karaniwang”tanggapin/pagtanggi”na gate ng seguridad, na ginagawang ang AI sa isang hindi sinasadyang kasabwat. Halimbawa, ang isang pagsusuri ng produkto ay maaaring maglaman ng isang nakatagong utos na nagtuturo sa AI upang isama ang isang link sa isang website ng scam sa buod nito, na epektibong nakakalason ang nilalaman para sa lahat ng mga gumagamit. Tulad ng ipinaliwanag ni Markopoulos,”Para sa kumpara sa industriya
Habang ang Google Gemini, Xai’s Grok, at Deepseek ay lahat ay natagpuan na mahina, ang iba pang mga pangunahing manlalaro ay hindi. Ang mga modelo mula sa OpenAI, Microsoft, at Anthropic ay lumilitaw na nagpatupad ng pag-input ng sanitization na nagpapagaan sa banta. Nagtalo ito na ang pag-atake ay nakasalalay sa social engineering, isang tindig na gumuhit ng pintas para sa pag-downplay ng teknikal na pagsasamantala sa core nito. Halimbawa, ang Amazon ay naglathala ng detalyadong gabay sa seguridad sa pagtatanggol laban sa smuggling ng character na Unicode, na kinikilala ito bilang isang lehitimong banta vector. Nang walang paparating na patch, ang mga organisasyon na gumagamit ng Gemini sa loob ng Google Workspace ay sadyang nakalantad sa isang sopistikadong pamamaraan ng pagkalason ng data at spoofing ng pagkakakilanlan.
