Cybersicherheitsforscher haben eine kritische Datenschutzlücke im KI-Assistenten Gemini von Google nachgewiesen, die mit minimalem Aufwand unbefugten Zugriff auf Kalenderdaten von Benutzern ermöglicht. Die Schwachstelle, die in einem Bericht von Miggo Security detailliert beschrieben wird, verdeutlicht die Risiken immer ausgefeilterer KI-Systeme, wenn sie grundlegenden Social-Engineering-Taktiken ausgesetzt sind.
Wie der Exploit funktioniert
Der Angriff nutzt eine Technik namens Indirect Prompt Injection. Die Forscher schickten einem Zielbenutzer eine Google Kalender-Einladung mit einer böswilligen Aufforderung. Durch diese Eingabeaufforderung wurde Gemini angewiesen, die geplanten Besprechungen des Benutzers für einen bestimmten Tag zusammenzufassen und diese vertraulichen Daten dann in die Beschreibung einer neuen, versteckten Kalendereinladung einzubetten.
Der Schlüssel zum Erfolg liegt in der Bereitschaft von Gemini, hilfsbereit zu sein: Als der Zielbenutzer die KI nach seinem Zeitplan fragte, kam Gemini nach, indem er die neue Einladung fälschlicherweise als „freies Zeitfenster“ bezeichnete und sie gleichzeitig mit Details zu privaten Besprechungen füllte. Dadurch konnte der Angreifer die gestohlenen Informationen einsehen.
Die Implikationen: KI-Assistenten als Datenvektoren
Der Bericht von Miggo Security mit dem Titel „Weaponizing Calendar Invites: A Semantic Attack on Google Gemini“ unterstreicht einen wachsenden Trend. KI-Assistenten, die auf Komfort ausgelegt sind, werden zunehmend zu Überträgern von Datenschutzverletzungen. Die Forscher erklären, dass die Tendenz der Zwillinge, „Ereignisdaten automatisch aufzunehmen und zu interpretieren“, eine ausnutzbare Schwäche schafft.
Dies ist kein Einzelfall; Die Sicherheitslücke ist wahrscheinlich auch bei anderen KI-Assistenten vorhanden. Angreifer passen sich bereits an, was diese Art der sofortigen Injektion zu einer wachsenden Bedrohung macht.
Reaktion und Schadensbegrenzung von Google
Google erkannte die Sicherheitslücke an, nachdem es von den Forschern alarmiert worden war. Ein Sprecher erklärte, dass bereits „robuste Schutzmaßnahmen“ vorhanden seien und das Problem behoben sei. Google betonte auch den Wert von Community-Beiträgen zur Verbesserung der KI-Sicherheit.
Der Vorfall wirft jedoch umfassendere Fragen zum KI-Datenschutz auf. Die Tatsache, dass solch ein einfacher Exploit erfolgreich sein könnte, unterstreicht die Notwendigkeit für Entwickler, dem Schutz der Benutzerdaten Vorrang einzuräumen.
„KI-Unternehmen müssen den angeforderten Aktionen eine Absicht zuordnen“, fordert Miggo Security und schlägt vor, dass KI-Systeme verdächtige Anfragen kennzeichnen sollten, anstatt sie blind auszuführen.
Der Vorfall dient als klare Warnung: Die schnelle Weiterentwicklung der KI garantiert keine inhärente Sicherheit, und Wachsamkeit ist unerlässlich, um zukünftige Verstöße zu verhindern.
