Gli esperti hanno svelato i dettagli di tre vulnerabilità, ora risolte, presenti nell’assistente di intelligenza artificiale Gemini di Google, collettivamente soprannominate “Gemini Trifecta” .

Se sfruttate con successo, queste falle avrebbero potuto indurre l’intelligenza artificiale a rubare dati e ad altre attività dannose.

Gli esperti di Tenable affermano che le vulnerabilità hanno interessato tre diversi componenti di Gemini:

Iniezioni di prompt in Gemini Cloud Assist. Il bug ha permesso agli aggressori di compromettere servizi e risorse cloud sfruttando la capacità dello strumento di riepilogare i log estratti direttamente dai log grezzi. Ciò ha consentito loro di nascondere un prompt nell’intestazione User-Agent nelle richieste HTTP a Cloud Functions e ad altri servizi, tra cui Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API e Recommender API.

Iniezioni di ricerca nel modello di personalizzazione della ricerca Gemini. Il problema consentiva l’iniezione di prompt e il controllo del comportamento dell’IA per rubare le informazioni memorizzate e i dati sulla posizione di un utente. L’attacco funzionava come segue: l’aggressore manipolava la cronologia delle ricerche di Chrome della vittima utilizzando JavaScript, rendendo il modello incapace di distinguere le query legittime dell’utente dai prompt iniettati esternamente.

Iniezioni indirette di prompt nello strumento di navigazione Gemini. Questa vulnerabilità potrebbe essere utilizzata per estrarre informazioni utente e dati sulla posizione memorizzati su un server esterno. Lo sfruttamento funzionava tramite una chiamata interna effettuata da Gemini per riassumere il contenuto di una pagina web. Ciò significava che l’aggressore avrebbe inserito un prompt dannoso sul proprio sito web e, quando Gemini ne avesse riassunto il contenuto, avrebbe eseguito le istruzioni nascoste dell’aggressore.

I ricercatori hanno osservato che queste vulnerabilità hanno consentito di incorporare dati privati degli utenti nelle richieste dell’aggressore, senza che Gemini avesse bisogno di visualizzare link o immagini.

“Uno degli scenari di attacco più pericolosi si presenta così: un aggressore inserisce un prompt che ordina a Gemini di interrogare tutte le risorse accessibili al pubblico o di trovare errori di configurazione IAM, per poi generare un collegamento ipertestuale con questi dati sensibili”, spiegano gli esperti, citando come esempio un bug di Cloud Assist. “Questo è possibile perché Gemini ha le autorizzazioni per interrogare le risorse tramite la Cloud Asset API.”

Nel secondo caso, gli aggressori dovevano attirare la vittima su un sito web predisposto per iniettare query di ricerca dannose con prompt Gemini nella cronologia del browser dell’utente, infettandola. Quindi, quando la vittima accedeva a Gemini Search Personalization, le istruzioni degli aggressori venivano eseguite, rubando dati riservati.

Dopo aver ricevuto informazioni sulle vulnerabilità, gli specialisti di Google hanno disabilitato il rendering dei collegamenti ipertestuali nelle risposte durante il riepilogo dei log e hanno inoltre implementato ulteriori misure di protezione contro le iniezioni rapide.

“Le di Gemini Trifecta dimostrano che l’intelligenza artificiale può diventare non solo un bersaglio, ma anche uno strumento di attacco. Quando si implementa l’intelligenza artificiale, le organizzazioni non possono trascurare la sicurezza“, sottolineano i ricercatori.

L'articolo Gemini Trifecta: tre bug critici rilevati nell’AI di Google proviene da il blog della sicurezza informatica.