Google Corrige Falha ‘GeminiJack’ que Transformava Gemini em Espião Corporativo

por IntrigaBits
3 min de leitura
3 visualizações

O Google agiu rapidamente para corrigir uma vulnerabilidade crítica em seu assistente de inteligência artificial para empresas, o Gemini Enterprise. A falha, batizada de GeminiJack, permitia que atacantes roubassem dados corporativos sensíveis, como e-mails e documentos, sem a necessidade de qualquer interação do usuário, caracterizando um ataque zero-click.

Descoberta pela Noma Labs, a falha explorava a arquitetura de Geração Aumentada por Recuperação (RAG) do sistema, transformando o Gemini em uma ferramenta involuntária de espionagem. A correção foi implementada após a colaboração entre o Google e os pesquisadores de segurança.

O que é a falha GeminiJack e o risco de Prompt Injection?

A GeminiJack é um exemplo clássico de ataque de injeção de prompt indireta. Em vez de injetar comandos diretamente no chat com a IA, os atacantes embutiam instruções maliciosas em documentos, convites de calendário ou e-mails que eram compartilhados com a organização alvo. Quando um funcionário realizava uma busca padrão no Gemini Enterprise, o sistema RAG recuperava o documento “envenenado”.

A IA, interpretando as instruções ocultas como comandos legítimos, era então induzida a buscar termos sensíveis como “confidencial”, “chave API” ou “salário” em todas as fontes de dados do Google Workspace às quais tinha acesso (Gmail, Docs, Calendar). O grande perigo residia no fato de que ferramentas de prevenção de perda de dados (DLP) não detectavam nada incomum, pois o malware era o próprio assistente de IA.

Como o ataque Zero-Click funcionava na prática?

O ataque era engenhoso e silencioso. Após o Gemini ser induzido a coletar os dados sensíveis, ele incluía uma tag de imagem externa no seu output. Ao tentar carregar essa imagem, o navegador do usuário enviava os dados coletados diretamente para um servidor controlado pelo atacante através de uma única requisição HTTP. Como o Google não filtrava o output HTML, a exfiltração de informações era concluída sem que o usuário precisasse clicar em nada.

Os pesquisadores da Noma Labs, que também identificaram uma falha similar no Salesforce Agentforce, alertam que vulnerabilidades como a GeminiJack representam uma nova classe de riscos nativos da IA. A solução arquitetônica, segundo eles, exige que os sistemas imponham limites estritos entre instruções e evidências, garantindo que conteúdo não confiável não possa reescrever objetivos ou acionar ações de alto impacto.

Para mais informações sobre segurança em IA, confira este artigo sobre segurança em IA.

Apesar da correção, o incidente serve como um lembrete importante sobre a necessidade de auditoria e vigilância contínua em sistemas de IA que interagem com dados corporativos sensíveis. A rápida resposta do Google, no entanto, demonstra o compromisso em manter a segurança de seus produtos empresariais.