Cybersecurity-onderzoekers hebben een kritieke privacyfout aangetoond in de Gemini AI-assistent van Google, waardoor ongeoorloofde toegang tot gebruikersagendagegevens met minimale inspanning mogelijk wordt. De kwetsbaarheid, beschreven in een rapport van Miggo Security, benadrukt de risico’s van steeds geavanceerdere AI-systemen wanneer ze worden blootgesteld aan basale social engineering-tactieken.
Hoe de exploit werkt
De aanval maakt gebruik van een techniek genaamd Indirect Prompt Injection. Onderzoekers stuurden een gerichte gebruiker een Google Agenda-uitnodiging met daarin een kwaadaardige prompt. Deze prompt instrueerde Gemini om de geplande vergaderingen van de gebruiker voor een specifieke dag samen te vatten en die gevoelige gegevens vervolgens in te sluiten in de beschrijving van een nieuwe, verborgen agenda-uitnodiging.
De sleutel tot succes ligt in de gretigheid van Gemini om behulpzaam te zijn: toen de beoogde gebruiker de AI naar zijn planning vroeg, voldeed Gemini door de nieuwe uitnodiging ten onrechte te bestempelen als een ‘vrij tijdslot’ en deze tegelijkertijd in te vullen met details van de privévergadering. Hierdoor kon de aanvaller de gestolen informatie bekijken.
De implicaties: AI-assistenten als datavectoren
Het rapport van Miggo Security, getiteld “Weaponizing Calendar Invitations: A Semantic Attack on Google Gemini”, onderstreept een groeiende trend. AI-assistenten, ontworpen voor gemak, worden steeds vaker vectoren voor datalekken. De onderzoekers leggen uit dat de neiging van Gemini om “automatisch gebeurtenisgegevens op te nemen en te interpreteren” een exploiteerbare zwakte creëert.
Dit is geen geïsoleerd probleem; de kwetsbaarheid is waarschijnlijk ook aanwezig in andere AI-assistenten. Aanvallers zijn zich al aan het aanpassen, waardoor dit soort snelle injecties een steeds grotere bedreiging wordt.
Reactie en beperking van Google
Google erkende de kwetsbaarheid nadat hij door de onderzoekers was gewaarschuwd. Een woordvoerder verklaarde dat er al ‘robuuste bescherming’ aanwezig was en dat het probleem is opgelost. Google benadrukte ook de waarde van communitybijdragen bij het verbeteren van de AI-beveiliging.
Het incident roept echter bredere vragen op over de privacy van AI. Het feit dat zo’n eenvoudige exploit zou kunnen slagen onderstreept de noodzaak voor ontwikkelaars om prioriteit te geven aan de bescherming van gebruikersgegevens.
“AI-bedrijven moeten de intentie toeschrijven aan gevraagde handelingen”, dringt Miggo Security aan, wat erop wijst dat AI-systemen verdachte verzoeken moeten signaleren in plaats van deze blindelings uit te voeren.
Het incident dient als een duidelijke waarschuwing: de snelle vooruitgang van AI garandeert geen inherente veiligheid, en waakzaamheid is essentieel om toekomstige inbreuken te voorkomen.
