VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ ba lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến trợ lý trí tuệ nhân tạo (AI) Gemini của Google. Nếu khai thác thành công, chúng có thể khiến người dùng phải đối mặt với rủi ro lớn về quyền riêng tư và bị đánh cắp dữ liệu.

Nhà nghiên cứu bảo mật Liv Matan của Tenable cho biết trong một báo cáo chia sẻ với The Hacker News: "Họ đã khiến Gemini dễ bị tấn công bằng cách chèn tìm kiếm vào Mô hình cá nhân hóa tìm kiếm; tấn công chèn nhật ký vào dấu nhắc vào Gemini Cloud Assist; và đánh cắp thông tin đã lưu và dữ liệu vị trí của người dùng thông qua Công cụ duyệt web Gemini ".


Các lỗ hổng này được công ty an ninh mạng đặt tên mã chung là Gemini Trifecta. Chúng nằm trong ba thành phần riêng biệt của bộ Gemini -

    Lỗ hổng chèn lệnh nhắc trong Gemini Cloud Assist có thể cho phép kẻ tấn công khai thác các dịch vụ dựa trên đám mây và xâm phạm tài nguyên đám mây bằng cách lợi dụng khả năng tóm tắt nhật ký được lấy trực tiếp từ nhật ký thô của công cụ này, cho phép kẻ tấn công che giấu lệnh nhắc trong tiêu đề User-Agent như một phần của yêu cầu HTTP tới Cloud Function và các dịch vụ khác như Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API và Recommender API
    Một lỗ hổng chèn tìm kiếm trong mô hình Cá nhân hóa tìm kiếm Gemini có thể cho phép kẻ tấn công chèn lời nhắc và kiểm soát hành vi của chatbot AI để làm rò rỉ thông tin đã lưu và dữ liệu vị trí của người dùng bằng cách thao túng lịch sử tìm kiếm Chrome của họ bằng JavaScript và tận dụng khả năng không phân biệt được giữa các truy vấn hợp pháp của người dùng và lời nhắc được chèn từ các nguồn bên ngoài của mô hình
    Một lỗ hổng chèn lệnh nhắc gián tiếp trong Công cụ duyệt Gemini có thể cho phép kẻ tấn công đánh cắp thông tin đã lưu và dữ liệu vị trí của người dùng đến một máy chủ bên ngoài bằng cách lợi dụng lệnh gọi nội bộ mà Gemini thực hiện để tóm tắt nội dung của một trang web

Tenable cho biết các lỗ hổng này có thể bị lợi dụng để nhúng dữ liệu riêng tư của người dùng vào yêu cầu gửi đến máy chủ độc hại do kẻ tấn công kiểm soát mà không cần Gemini phải hiển thị liên kết hoặc hình ảnh.

"Một kịch bản tấn công có tác động lớn sẽ là kẻ tấn công chèn một lời nhắc yêu cầu Gemini truy vấn tất cả tài sản công khai, hoặc truy vấn các cấu hình IAM sai, rồi tạo một siêu liên kết chứa dữ liệu nhạy cảm này", Matan nói về lỗ hổng Cloud Assist. "Điều này hoàn toàn có thể xảy ra vì Gemini có quyền truy vấn tài sản thông qua Cloud Asset API."


Trong trường hợp tấn công thứ hai, kẻ tấn công trước tiên cần thuyết phục người dùng truy cập vào một trang web mà chúng đã thiết lập để chèn các truy vấn tìm kiếm độc hại chứa mã độc nhanh chóng vào lịch sử duyệt web của nạn nhân và đầu độc nó. Do đó, khi nạn nhân sau đó tương tác với mô hình cá nhân hóa tìm kiếm của Gemini, các hướng dẫn của kẻ tấn công sẽ được xử lý để đánh cắp dữ liệu nhạy cảm.

Sau khi tiết lộ một cách có trách nhiệm, Google đã ngừng hiển thị siêu liên kết trong các phản hồi cho tất cả các phản hồi tóm tắt nhật ký và đã bổ sung thêm các biện pháp tăng cường để bảo vệ chống lại việc chèn mã độc ngay lập tức.

"Gemini Trifecta cho thấy bản thân AI có thể bị biến thành phương tiện tấn công, chứ không chỉ là mục tiêu. Khi các tổ chức áp dụng AI, họ không thể bỏ qua vấn đề bảo mật", Matan nói. "Việc bảo vệ các công cụ AI đòi hỏi khả năng hiển thị vị trí của chúng trong môi trường và thực thi nghiêm ngặt các chính sách để duy trì kiểm soát."

Sự phát triển này diễn ra khi nền tảng bảo mật đại lý CodeIntegrity nêu chi tiết một cuộc tấn công mới lợi dụng tác nhân AI của Notion để đánh cắp dữ liệu bằng cách ẩn các hướng dẫn nhắc nhở trong tệp PDF bằng văn bản màu trắng trên nền trắng, hướng dẫn mô hình thu thập dữ liệu bí mật và sau đó gửi cho kẻ tấn công.

"Một tác nhân có quyền truy cập không gian làm việc rộng có thể liên kết các tác vụ trên nhiều tài liệu, cơ sở dữ liệu và các kết nối bên ngoài theo những cách mà RBAC không thể lường trước được", công ty cho biết. "Điều này tạo ra một bề mặt đe dọa mở rộng đáng kể, nơi dữ liệu hoặc hành động nhạy cảm có thể bị đánh cắp hoặc sử dụng sai mục đích thông qua các quy trình làm việc tự động nhiều bước."