Convite do mal: Calendário do Google tem falha exposta através do Gemini

Vulnerabilidade no Calendário do Google: Uma Ameaça à Segurança

Uma falha no Google Gemini foi descoberta por pesquisadores de cibersegurança da empresa Miggo Security, permitindo a injeção indireta de prompt e a extração de dados sensíveis. Essa vulnerabilidade permite que hackers usem o Calendário Google para roubar informações, contornando as defesas de autenticação e os controles de privacidade.

A falha é explorada quando um usuário recebe um convite de calendário com uma descrição maliciosa, que contém um prompt feito em linguagem natural. Quando o usuário faz uma pergunta ao Gemini sobre sua agenda, o chatbot de IA busca os eventos e encontra a descrição maliciosa, adicionando os dados criminosos a um novo evento do Calendário Google.

Como a Vulnerabilidade Funciona

Os criminosos criam um evento de calendário e o enviam para a vítima, com uma descrição maliciosa que contém um prompt feito em linguagem natural.
Quando o usuário faz uma pergunta ao Gemini sobre sua agenda, o chatbot de IA busca os eventos e encontra a descrição maliciosa.
O Gemini adiciona os dados criminosos a um novo evento do Calendário Google e retorna uma resposta inofensiva ao usuário.

Essa vulnerabilidade demonstra os perigos dos agentes de IA na automação dos fluxos de trabalho, especialmente quando lidam com dados pessoais. A Google já corrigiu o problema, mas é importante que os usuários estejam cientes dos riscos e tomem medidas para proteger suas informações.

Além disso, é fundamental lembrar que os chatbots, especialmente os agentes, ainda não são seguros para criar aplicativos ou lidar com dados pessoais com total liberdade e sem instruções bastante específicas.

Este conteúdo pode conter links de compra.

Fonte: link