Το Gmail μπορεί να χακαριστεί και η Mozilla δείχνει πως. Η τεχνητή νοημοσύνη βρίσκεται παντού αυτές τις ημέρες, στο τηλέφωνό σου, στο αυτοκίνητό σου ακόμη και στις οικιακές συσκευές που όλοι χρησιμοποιούμε στο σπίτι. Και η αλήθεια είναι ότι έχει κάνει τη ζωή μας σημαντικά πιο εύκολη σε πλήθος τομείς αν και ενέχει τους δικούς της κινδύνους.

Αν έχεις χρησιμοποιήσει τη σουίτα εφαρμογών της Google, το Google Workspace, θα έχεις ίσως διαπιστώσει ότι τα AI μοντέλα της Google, όπως το Gemini βρίσκονται ενσωματωμένα στις υπηρεσίες του Docs, Sheets και του Gmail. Ερευνητές ασφαλείας επισημαίνουν ότι οι διαδικτυακοί εγκληματίες μπορούν να αλλάξουν τα generated email summaries για να εισάγουν κρυφά phising prompts.

Πως τα Gemini summaries μπορούν να χακαριστούν και πως σε αφορά

Ερευνητές της Mozilla ανακάλυψαν πρόσφατα μια ευπάθεια στη σουίτα εφαρμογών Google Gemini for Workspace που θα επέτρεπαν στους διαδικτυακούς εγκληματίες να εισάγουν κρυφά instructions σε email summaries. Το πρόβλημα το οποίο παρουσιάστηκε από τον Marco Figueroa, δείχνει πως τα generative AI tools μπορούν να ξεγελαστούν μέσω μιας απλής μεθόδου όπως αποκαλείται στο χώρο της κυβερνοασφάλειας, indirect prompt injection.

gmail χακαριστεί MozillaΗ εν λόγω επίθεση δεν βασίζεται σε ύποπτους συνδέσμους ή attachments. Αντίθετα χρησιμοποιεί έναν συνδυασμό HTML και CSS προκειμένου να κρύψει το σχετικό prompt θέτοντας το font size, δηλαδή το μέγεθος της γραμματοσειράς στο μηδέν και το χρώμα αυτής σε άσπρο. Τα εν λόγω commands παραμένουν αόρατα για τους χρήστες στο Gmail αν και συνεχίζουν να είναι προσβάσιμα και αναγνώσιμα από το Gemini. Μόλις ζητήσεις στη συνέχεια ένα summary, η AI εύκολα πλέον μπορεί να ξεγελαστεί και να παρουσιάσει fake security alerts, δηλαδή ψεύτικες ειδοποιήσεις ασφαλείας για τον λογαριασμό σου που φαίνονται ότι έρχονται από την Google ενώ στη πραγματικότητα δεν το κάνουν.

Και σε ένα απλό και πολύ χαρακτηριστικό proof of concept, το Gemini λανθασμένα ειδοποίησε έναν χρήστη ότι το email password του έχει παραβιαστεί και διαρρεύσει και περιελάμβανε μάλιστα και έναν fake αριθμό τηλεφωνικής υποστήριξης για να λύσει δήθεν το πρόβλημά του ο χρήστης.

Τι κάνει η Google για το εν λόγω θέμα

Αν και η Google έχει αυξήσει τα διάφορα μέτρα ασφαλείας κατά των prompt injection, η εταιρεία μετά τις εν λόγω αποκαλύψεις ανέφερε ότι άρχισε να διαθέτει updated μέτρα ασφαλείας. Συγκεκριμένα, εκπρόσωπος της Google είπε: «Η άμυνα ενάντια σε επιθέσεις που επηρεάζουν τον κλάδο, όπως οι άμεσες εισβολές σε λογαριασμούς, αποτελεί διαρκή προτεραιότητα για εμάς και έχουμε αναπτύξει πολυάριθμα ισχυρά μέτρα άμυνας για την ασφάλεια των χρηστών, συμπεριλαμβανομένων μέτρων προστασίας για την αποτροπή επιβλαβών ή παραπλανητικών απαντήσεων. Ενισχύουμε συνεχώς τα ήδη ισχυρά μέτρα άμυνας μας εκπαιδεύοντας τα μοντέλα μας να αμύνονται ενάντια σε αυτού του είδους τις επιθέσεις».

  • Μην εμπιστεύεσαι τυφλά το AI-generated περιεχόμενο.
  • Μην χρησιμοποιείς το summary feature για ύποπτα emails
  • Αν το email σου λαμβάνει ύποπτα emails απενεργοποίησε τα AI summaries προς το παρόν.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

ΣΧΕΤΙΚΑ ΑΡΘΡΑΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΤΟΝ ΙΔΙΟ ΣΥΝΤΑΚΤΗ

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

This site uses Akismet to reduce spam. Learn how your comment data is processed.