Google łata „GeminiJack” — zero-clickową podatność w Gemini Enterprise, która mogła ujawniać dane firmowe - Security Bez Tabu

Google łata „GeminiJack” — zero-clickową podatność w Gemini Enterprise, która mogła ujawniać dane firmowe

Wprowadzenie do problemu / definicja luki

Google załatało krytyczną podatność w Gemini Enterprise nazwaną „GeminiJack”. To zero-clickowa, pośrednia injekcja promptów (indirect prompt injection), która umożliwiała atakującym bez udziału użytkownika wykradanie wrażliwych danych z usług Google Workspace (Gmail, Docs, Calendar i inne) — wystarczył udostępniony dokument, zaproszenie kalendarza albo e-mail zawierający ukryte instrukcje dla agenta AI. Google potwierdziło wdrożenie mitigacji po zgłoszeniu przez Noma Security.

W skrócie

  • Wejście: Udostępniony artefakt (Docs/Calendar/Gmail) z ukrytymi instrukcjami.
  • Wyzwalacz: Zwykłe zapytanie pracownika do Gemini Enterprise (np. „pokaż nasze budżety”).
  • Działanie: RAG pobiera „zatruty” artefakt, LLM traktuje ukryty tekst jak polecenia i agreguje dane z wielu źródeł, następnie osadza je w zewnętrznym znaczniku obrazu, co skutkuje cichą eksfiltracją podczas ładowania obrazka.
  • Interakcja użytkownika: 0 kliknięć, brak ostrzeżeń i typowych alarmów DLP/AV.
  • Status: Google wdrożyło zmiany architektoniczne ograniczające wektor — m.in. separację Vertex AI Search od Gemini Enterprise i RAG.

Kontekst / historia / powiązania

Badanie opublikowało Noma Security, które wykazało, że problem dotyczył Gemini Enterprise, a wcześniej Vertex AI Search. Media branżowe (SecurityWeek, Dark Reading, ISMG) potwierdziły szczegóły i informację o poprawkach Google. Podatność wpisuje się w szerszą klasę AI-native zagrożeń dla platform z federowanym dostępem i RAG.

Analiza techniczna / szczegóły luki

  1. Zatrucie treści (content poisoning):
    Atakujący tworzy wiarygodny artefakt (np. Q4 Budget Planning) z niewidocznymi instrukcjami (HTML/CSS, minimalny font, biały na białym itp.) nakazującymi agentowi m.in. wyszukiwać frazy typu „confidential”, „API key”, „salary”, „acquisition”. Artefakt trafia do indeksu wiedzy organizacji.
  2. Normalne użycie AI przez pracownika:
    Użytkownik zadaje rutynowe pytanie Gemini Enterprise. Silnik RAG pobiera kontekst, w tym „zatruty” dokument. LLM nie odróżnia instrukcji od dowodu/treści i wykonuje polecenia.
  3. Eksfiltracja przez znacznik obrazu:
    Wynik zawiera zewnętrzny <img> z parametrami niosącymi zebrane dane. Podczas renderowania przeglądarka wykonuje żądanie HTTP do serwera napastnika — to boczne wyprowadzenie danych poza kontrolowane kanały. Tradycyjne narzędzia nie podnoszą alertów, bo ruch wygląda „normalnie”.
  4. Zmiany po stronie Google:
    Po zgłoszeniu Google przebudowało interakcję między Gemini Enterprise, Vertex AI Search i RAG — separując komponenty, aby ograniczyć możliwość wciągania niezaufanej treści jako instrukcji.

Praktyczne konsekwencje / ryzyko

  • Szeroki zasięg eksfiltracji: potencjalnie lata korespondencji e-mail, kompletne historie kalendarza, całe repozytoria dokumentów — wszystko, do czego ma dostęp agent.
  • Brak sygnałów ostrzegawczych: brak kliknięć, brak typowych IOC, brak alarmów DLP. Ryzyko „cichej porażki”.
  • Nowa powierzchnia ataku: AI z uprawnieniami do danych staje się wysokowartościowym pojedynczym punktem awarii.

Rekomendacje operacyjne / co zrobić teraz

Natychmiast (0–7 dni):

  1. Przegląd integracji i uprawnień Gemini Enterprise/Workspace: minimalne zakresy, ograniczenie źródeł RAG do zaufanych repozytoriów.
  2. Wymuś blokadę zewnętrznych połączeń w wynikach AI (np. filtrowanie/stripowanie <img>/zewn. URL) na warstwie proxy/CSP; rozważ blokadę zdalnego ładowania obrazów w interfejsach, które renderują odpowiedzi AI. (Wnioski z wektora <img>).
  3. Higiena treści: oznaczanie i kwarantanna artefaktów zewnętrznych (Docs/Calendar/Email) zanim trafią do indeksu AI; automatyczne reguły flagujące „niewidzialny” tekst/HTML. (Wynika z mechaniki ataku).
  4. Rotacja sekretów (API keys/hasła) i przegląd logów pod kątem anomalii żądań HTTP do nieznanych domen po akcjach AI.

Krótkoterminowo (1–4 tygodnie):

  1. Segmentacja dostępu AI („blast radius mapping”) i least privilege dla konektorów; osobne projekty/tenants dla działów o podwyższonej wrażliwości.
  2. Separacja instrukcji od dowodów w pipeline RAG (policy: „instructions-vs-evidence”); walidacja/trust score każdej pozycji kontekstu (proweniencja).
  3. Monitoring runtime pod kątem prompt-injection/exfiltracji (wzorce <img>, dane w query stringach, nienaturalne zapytania typu „confidential”, „API key”, itp.).
  4. „Human-in-the-loop” dla akcji o skutkach zewnętrznych (wysyłka wiadomości, modyfikacja danych, dostępy).

Średnioterminowo:

  1. Red teaming AI (scenariusze e-mail/chat z ukrytym HTML/CSS), testy odporności RAG i zasilanych konektorów.
  2. Polityki CSP/egress control dedykowane dla komponentów renderujących odpowiedzi AI (whitelisting domen obrazów, blokada data exfil via URL). (Wynika z wektora eksfiltracji).
  3. Rejestry proweniencji treści oraz etykietowanie zaufania (content provenance) przed włączeniem do indeksu „organizational knowledge”.

Różnice / porównania z innymi przypadkami

  • GeminiJack vs. klasyczne prompt-injection: tu użytkownik niczego nie klika i nawet nie widzi złośliwego polecenia; triggerem jest standardowe wyszukiwanie w RAG.
  • Na tle wcześniejszych odkryć (np. „Gemini Trifecta” Tenable): wspólnym mianownikiem jest możliwość przekształcenia AI w wektor ataku oraz wycieki danych wskutek błędów separacji kontekstu i uprawnień; jednak GeminiJack jest bardziej „bezklikowy” i architektoniczny, bo opiera się na federacji danych i renderowaniu odpowiedzi.

Podsumowanie / kluczowe wnioski

  • AI z dostępem do danych = nowa brama dostępu. Jeśli AI „czyta” treści, musi odróżniać instrukcje od dowodów/treści i nie wolno jej bezkrytycznie wykonywać ukrytych poleceń z artefaktów.
  • Eksfiltracja może wyglądać jak zwykłe ładowanie obrazka. Kontroluj egress i sanitację HTML w odpowiedziach AI.
  • Google zareagowało i przebudowało architekturę po zgłoszeniu (separacja VAIS od Gemini Enterprise/RAG), ale klasa ryzyka pozostaje dla wszystkich środowisk RAG/agentów.

Źródła / bibliografia

  • SecurityWeek: „Google Patches Gemini Enterprise Vulnerability Exposing Corporate Data” (10 grudnia 2025) — potwierdzenie mitigacji po stronie Google. (SecurityWeek)
  • Noma Security (Noma Labs): „Hacking Google Gemini Enterprise with an Indirect Prompt Injection / GeminiJack FAQ” — szczegóły techniczne i zalecenia. (noma.security)
  • Dark Reading: „Gemini Enterprise No-Click Flaw Exposes Sensitive Data” (9 grudnia 2025) — opis wektora i zmian architektonicznych. (Dark Reading)
  • ISMG / BankInfoSecurity: „Google Patches AI Flaw That Turned Gemini Into a Spy” (9 grudnia 2025) — mechanizm <img> i brak sygnałów w DLP. (bankinfosecurity.com)
  • (Kontekst porównawczy) Tenable Research: „The Trifecta: three new Gemini vulnerabilities…” (wrzesień 2025). (Tenable®)