Los investigadores de seguridad han descubierto una vulnerabilidad significativa en Google Gemini para el espacio de trabajo que permite a los actores de amenaza incrustar instrucciones maliciosas ocultas dentro de los correos electrónicos.
El ataque explota la función “Resumen este correo electrónico” del asistente de IA para mostrar advertencias de seguridad fabricadas que parecen originarse en Google, potencialmente que conduce al robo de credenciales y ataques de ingeniería social.
Control de llave
1. Los atacantes ocultan instrucciones maliciosas en correos electrónicos utilizando HTML/CSS invisible que Gemini procesa al resumir los correos electrónicos.
2. El ataque usa solo HTML diseñado con etiquetas, no se requieren enlaces, archivos adjuntos o guiones requeridos.
3. Géminis muestra advertencias de phishing creadas por los atacantes que parecen provenir de Google, engañando a los usuarios al robo de credenciales.
4. La vulnerabilidad afecta a Gmail, documentos, diapositivas y impulso, lo que potencialmente permite gusanos de IA en el espacio de trabajo de Google.
La vulnerabilidad fue demostrada por un investigador que enviado Sus hallazgos a 0din bajo ID de envío 0xe24d9e6b. El ataque aprovecha una técnica de inyección rápida que manipula las capacidades de procesamiento de IA de Gemini a través del código HTML y CSS diseñado en mensajes de correo electrónico.
A diferencia de los intentos de phishing tradicionales, este ataque no requiere enlaces, archivos adjuntos o scripts externos, solo texto especialmente formateado oculto dentro del cuerpo de correo electrónico.
El ataque funciona explotando el tratamiento de Géminis de las directivas HTML ocultas. Los atacantes incrustan las instrucciones dentro de las etiquetas mientras usan el estilo CSS como el texto blanco sobre blanco o el tamaño de fuente cero para que el contenido sea invisible para los destinatarios.
Cuando las víctimas hacen clic en la función de “resumir este correo electrónico” de Gemini, el asistente de IA procesa la directiva oculta como un comando de sistema legítimo y reproduce fielmente la alerta de seguridad fabricada del atacante en su salida de resumen.
Google Gemini para la vulnerabilidad del espacio de trabajo
La vulnerabilidad representa una forma de inyección indirecta de inmediato (IPI), donde el contenido externo suministrado al modelo AI contiene instrucciones ocultas que se convierten en parte de la solicitud efectiva. Los expertos en seguridad clasifican este ataque bajo la taxonomía 0Din como “estratagemas → meta-promting → formateo engañoso” con un puntaje moderado de impacto social.
Un ejemplo de prueba de concepto demuestra cómo los atacantes pueden insertar tramos invisibles que contienen instrucciones de estilo administrador que dirigen a Gemini para agregar advertencias de seguridad urgentes a los resúmenes de correo electrónico.
Estas advertencias generalmente instan a los destinatarios a llamar a números de teléfono específicos o visitar sitios web, permitiendo la recolección de credenciales o los esquemas de phishing de voz.
La vulnerabilidad se extiende más allá de Gmail para afectar potencialmente la integración de Géminis en el espacio de trabajo de Google, incluidos los documentos, las diapositivas y la funcionalidad de búsqueda de impulso. Esto crea una superficie significativa de ataque de productos cruzados donde cualquier flujo de trabajo que involucre el contenido de terceros procesado por Géminis podría convertirse en un vector de inyección potencial.
Los investigadores de seguridad advierten que las cuentas SaaS comprometidas podrían transformarse en “miles de balizas de phishing” a través de boletines automatizados, sistemas CRM y correos electrónicos.
La técnica también plantea preocupaciones sobre los futuros “gusanos de IA” que podrían autorreplicarse en los sistemas de correo electrónico, aumentando de los intentos de phishing individuales a la propagación autónoma.
Mitigaciones
Se aconseja a los equipos de seguridad que implementen varias medidas defensivas, incluida la pelusa HTML entrante para quitar el estilo invisible, configuraciones de firewall LLM y filtros posteriores al procesamiento que escanean la salida de Gemini para obtener contenido sospechoso.
Las organizaciones también deben mejorar la capacitación de conciencia del usuario para enfatizar que los resúmenes de IA son alertas de seguridad informativas en lugar de autorizadas.
Para los proveedores de IA como Google, las mitigaciones recomendadas incluyen desinfectación de HTML en la ingestión, una atribución de contexto mejorada para separar el texto generado por la IA del material fuente y las características de explicación mejoradas que revelan las indicaciones ocultas a los usuarios.
Esta vulnerabilidad subraya la realidad emergente de que los asistentes de IA representan un nuevo componente de la superficie de ataque, lo que requiere equipos de seguridad para instrumentos, sandbox y monitorean cuidadosamente sus resultados como vectores de amenazas potenciales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
