У Gmail виявили вразливість Gemini, яка дозволяє запускати фішингові атаки

У поштовій функції Gemini, інтегрованій у Gmail, виявили серйозну вразливість, яка відкриває шлях до фішингових атак через штучно згенеровані резюме листів. Про це повідомляє портал BleepiingComputer з посиланням на 0DIN.

Інцидент став відомим завдяки Марко Фігероа, керівнику програми GenAI Bug Bounty у Mozilla. За його словами, зловмисники можуть вбудовувати інструкції у листи, які не видно людині, але які зчитує штучний інтелект Gemini.

Для цього текст маскується — він форматований білим кольором, а шрифт зменшується до нуля.

У результаті ШІ додає до резюме неправдиву інформацію, наприклад, фейкові попередження про злам пароля разом із шахрайськими контактами «служби підтримки».

Такі підсумки листів можуть виглядати цілком правдоподібно і викликати емоційну реакцію користувачів, що підвищує ризик шахрайства.

Фігероа рекомендує командам безпеки:

• створювати механізми виявлення прихованих інструкцій;
• аналізувати автоматично створені підсумки на наявність підозрілих елементів, таких як URL-адреси чи номери телефонів;
• ретельно перевіряти повідомлення, що викликають терміновість чи страх.

Google у коментарі для BleepingComputer заявила, що не виявила доказів зловживань, але вже працює над запровадженням додаткових заходів безпеки.

 Нагадаємо, що штучний інтелект Google Gemini отримав нову функцію запланованих дій, що дає змогу автоматизувати рутинні завдання та отримувати персоналізовані оновлення.

Фото: Unsplash