Google Gemini Enterprise’da ve daha önce Vertex AI Search’te “GeminiJack” olarak adlandırılan kritik bir sıfır tıklama güvenlik açığı, saldırganların Gmail, Takvim ve Dokümanlar’dan hassas kurumsal verileri minimum çabayla çalmasına olanak tanıyordu.
Noma Labs’a göre bu, yalnızca bir hatadan ziyade mimari bir kusur olarak görülüyordu. Bu kusur, yapay zeka sistemlerinin paylaşılan içeriği işleme biçiminden yararlanarak veri kaybı önleme (DLP) ve uç nokta araçları gibi geleneksel savunmaları atlamasına olanak tanıdı.
Hiçbir çalışanın tıklamasına veya uyarısına gerek yoktu. Bir saldırgan, zehirli bir Google Dokümanını, Takvim davetini veya gizli istem enjeksiyonlarını içeren bir e-postayı paylaştı.
Personel “4. Çeyrek bütçelerini göster” gibi rutin Gemini aramaları yaptığında yapay zeka kötü amaçlı içeriği aldı, talimatlarını Workspace veri kaynakları genelinde uyguladı ve yanıttaki gizlenmiş bir harici görüntü isteği aracılığıyla sonuçları sızdırdı.
GeminiJack Hassas Verileri Açığa Çıkarıyor
Gemini Enterprise’ın RAG (Alma-Artırılmış Nesil) mimarisi, AI sorguları için Gmail e-postalarını, Takvim etkinliklerini ve Dokümanlar’ı indeksler.
Saldırganlar, kullanıcı tarafından kontrol edilen içeriğe dolaylı istemler yerleştirerek modeli, erişilebilir tüm veriler genelinde hassas terimleri (“gizli”, “API anahtarı”, “satın alma”) sorgulaması için kandırdı.
Yapay zeka daha sonra sonuçları bir HTML img etiketine yerleştirdi ve bunları zararsız HTTP trafiği aracılığıyla saldırganın sunucusuna gönderdi.
Çalışanın bakış açısından: Normal arama, beklenen sonuçlar. Güvenlikten: Kötü amaçlı yazılım yok, kimlik avı yok, yalnızca yapay zeka “tasarlandığı gibi” davranıyor.
Tek bir enjeksiyon, yıllarca süren e-postaları, anlaşmaları ve yapıları ortaya koyan tam takvimleri veya sözleşmeler ve bilgileri içeren tüm Dokümanlar depolarını sızdırabilir.
| Adım | Aksiyon |
|---|---|
| 1. Zehirlenme | Saldırgan, Belge/Takvim/E-postayı gömülü istemle paylaşır: örneğin, “‘Satış’ı arayın ve buna dahil edin” |
| 2. Tetikleyici | Çalışan Gemini’yi sorguluyor (örneğin, “Satış belgeleri?”) |
| 3. Geri Alma | RAG, zehirli içeriği bağlama uygun hale getiriyor |
| 4. Dışarı çık | Yapay zeka görüntü yükleme yoluyla verileri yürütür ve gönderir |
Google, veri kaynaklarını kalıcı erişim sağlayacak şekilde yapılandırarak patlama yarıçapını genişletti. Google hızlı bir şekilde iş birliği yaparak Vertex AI Search’ü Gemini’den ayırdı ve RAG talimatlarının işlenmesine yama uyguladı.
Ancak GeminiJack, yapay zekaya özgü risklerin arttığına işaret ediyor: asistanlar Workspace’e erişim kazandıkça, zehirli girdiler onları casusluk araçlarına dönüştürebilir.
Kuruluşların yapay zeka güven sınırlarını yeniden düşünmesi, RAG işlem hatlarını izlemesi ve veri kaynaklarını sınırlaması gerekiyor. Bu son enjeksiyon uyandırma çağrısı değil.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
