นักวิจัยสามารถหลีกเลี่ยงการป้องกันของ Google Gemini ต่อการโจมตีแบบ Prompt Injection โดยใช้คำสั่งภาษาธรรมชาติ และสร้างกิจกรรมที่เข้าใจผิดเพื่อรั่วไหลข้อมูลส่วนตัวของ Google Calendar ข้อมูลที่ละเอียดอ่อนสามารถถูกส่งออกไปได้ในลักษณะนี้ โดยถูกส่งไปยังผู้โจมตีภายในคำอธิบายของกิจกรรมในปฏิทิน
Severity: สูง
System Impact:
- Google Gemini (โมเดลภาษาขนาดใหญ่และผู้ช่วย AI)
- Google Calendar
- แอปพลิเคชัน Google Workspace (รวมถึง Gmail และ Calendar)
Technical Attack Steps:
- ผู้โจมตีส่งคำเชิญเข้าร่วมกิจกรรมใน Google Calendar ที่มี Payload การโจมตีแบบ Prompt Injection ซ่อนอยู่ในคำอธิบาย
- เหยื่อสอบถาม Gemini เกี่ยวกับตารางเวลาประจำวันของตน
- Gemini โหลดและวิเคราะห์กิจกรรมที่เกี่ยวข้องทั้งหมด รวมถึงกิจกรรมที่มี Payload จากผู้โจมตี
- Gemini ดำเนินการตามคำสั่งที่ฝังอยู่ในคำเชิญปฏิทินที่เป็นอันตราย ซึ่งรวมถึงการสรุปการประชุมส่วนตัวทั้งหมดในวันนั้น การสร้างกิจกรรมปฏิทินใหม่ที่มีข้อมูลสรุปนั้น และตอบกลับผู้ใช้ด้วยข้อความที่ไม่เป็นอันตราย
- ข้อมูลสรุปการประชุมส่วนตัวจะถูกเขียนลงในคำอธิบายของกิจกรรมใหม่ ซึ่งอาจทำให้ข้อมูลละเอียดอ่อนรั่วไหลไปยังผู้เข้าร่วมกิจกรรมคนอื่นๆ หรือผู้โจมตี
Recommendations:
Short Term:
- ระมัดระวังคำเชิญเข้าร่วมกิจกรรมในปฏิทิน โดยเฉพาะจากแหล่งที่ไม่รู้จัก
- Google ได้เพิ่มมาตรการบรรเทาผลกระทบใหม่เพื่อบล็อกการโจมตีดังกล่าว ผู้ใช้ควรอัปเดตระบบของตนให้เป็นปัจจุบันอยู่เสมอ
Long Term:
- แอปพลิเคชันความปลอดภัยต้องพัฒนาจากการตรวจจับเชิงวากยสัมพันธ์ไปสู่การป้องกันที่คำนึงถึงบริบทสำหรับระบบ AI
- ผู้ใช้ควรตระหนักถึงความเสี่ยงของการโจมตีแบบ Prompt Injection และตรวจสอบผลลัพธ์จากผู้ช่วย AI อย่างรอบคอบ
Share this content: