This post is also available in:
English (אנגלית)
חוקרי סייבר מחברת Tenable חשפו שלוש חולשות חמורות בפלטפורמת הבינה המלאכותית Gemini של גוגל, אשר עלולות לחשוף משתמשים להתקפות הזרקת פקודות (Prompt Injection) ולדליפת מידע. שלוש החולשות, שכונו בשם "Gemini Trifecta” משפיעות על שלוש יכולות מרכזיות של המערכת: Cloud Assist, התאמה אישית של חיפוש, וכלי גלישה – כאשר כל אחת מהן מהווה ערוץ תקיפה שונה.
החולשה הראשונה התגלתה ב-Cloud Assist, כלי שמנתח ומסכם רשומות לוג מ-Google Cloud. החוקרים גילו כי Gemini עיבד את רשומות הלוג הגולמיות עצמן ולא רק את המטא-דאטה שלהן. על ידי הזרקת הוראות זדוניות לשדות כמו כותרות HTTP, תוקפים יכלו לגרום ל-Gemini להריץ שאילתות לא מורשות בענן — כגון סריקת נכסים ציבוריים או איתור תצורות שגויות — כשהתוצאות מוחזרות כקישורים לחיצים, והכל באמצעות הפקודה "הסבר את רשומת הלוג הזו".
החולשה השנייה ניצלה את היכולת של Gemini להתאים תגובות אישית לפי היסטוריית החיפוש בדפדפן Chrome של המשתמש. החוקרים הראו כי אם תוקף מצליח לשלוט על היסטוריית החיפוש – למשל דרך קוד JavaScript זדוני – הוא יכול להפוך את ההיסטוריה עצמה להנחיה סמויה למודל. בניסויים מבוקרים, השתמשו בטכניקה זו כדי לדלות מיקום ומידע שמור של המשתמש, על ידי החדרת הוראות ש-Gemini פירש לאחר מכן כשאילתות לגיטימיות.
החולשה השלישית נוגעת לכלי הגלישה של Gemini, שמביא תוכן חי מאתרים חיצוניים. החוקרים הצליחו לגרום ל-Gemini לכלול נתונים רגישים של המשתמש בבקשות שנשלחו לשרתים שנשלטו על ידי תוקפים. הדליפה התבצעה בשקט מוחלט, מבלי שנראה דבר יוצא דופן בפלט שהוצג למשתמש, על ידי הסתרת המידע בתוך בקשות רשת ש-Gemini יזם במהלך הגלישה.
גוגל תיקנה את שלוש החולשות לאחר החשיפה של החוקרים. עם זאת, המחקר מדגיש את האתגרים המערכתיים בשילוב בינה מלאכותית עם כלים שמטפלים במידע חי או היסטורי של משתמשים. כאשר מערכות מתייחסות לקלטים חיצוניים — כמו לוגים או היסטוריית דפדפן — כקונטקסט מהימן, הן הופכות לפגיעות למניפולציות.
מומלץ לארגונים המשלבים יכולות דומות של בינה מלאכותית לנקוט בנהלים קפדניים של אימות קלט, הגבלת גישה לכלים חיצוניים, ומעקב שוטף אחר התנהגות המודלים, כדי לצמצם את הסיכון לשימוש לרעה.
