Google, şirketin AI asistan araçlarını kullanarak kurumsal ortamlardan sessiz veri çıkarılmasına olanak tanıyan Gemini sıfır tıklama güvenlik kusurunu giderdi. Gemini Enterprise’da bir güvenlik açığı olarak tanımlanan sorun, Haziran 2025’te Noma Security’deki araştırmacılar tarafından ortaya çıkarıldı ve araştırmacılar bunu hemen Google’a bildirdi.
Araştırmacılar kusura GeminiJack adını verdiler ve bunu hem Google’ın Gemini Enterprise’ı, kurumsal yapay zeka yardımcı araçları paketini hem de Google Cloud’da yapay zeka odaklı arama ve öneri işlevlerini destekleyen Vertex Yapay Zeka Arama’yı etkileyen mimari bir zayıflık olarak tanımladılar.
Güvenlik araştırmacılarına göre sorun, bir tür dolaylı anlık enjeksiyona izin veriyordu. Saldırganlar; Gmail, Google Takvim, Google Dokümanlar veya Gemini Enterprise’ın erişim iznine sahip olduğu herhangi bir Workspace uygulaması aracılığıyla saklanan veya paylaşılan günlük dokümanların içine kötü amaçlı talimatlar yerleştirebilir. Sistem, zehirli içerikle etkileşime girdiğinde, hedefin bilgisi olmadan hassas bilgileri sızdıracak şekilde manipüle edilebiliyordu.
Saldırının belirleyici özelliği, kurbanın herhangi bir etkileşime girmesini gerektirmemesiydi. Araştırmacılar, Gemini’nin sıfır tıklama davranışından yararlanmanın, çalışanların bağlantıları açmasına, istemlere tıklamasına veya uyarıları geçersiz kılmasına gerek kalmayacağı anlamına geldiğini belirtti. Saldırı aynı zamanda standart kurumsal güvenlik kontrollerini de atladı.
GeminiJack Saldırı Zinciri Nasıl Çalıştı?
Noma Security, GeminiJack saldırı dizisinin birkaç aşamasını detaylandırarak saldırganın minimum çabasının ne kadar yüksek etkili sonuçları tetikleyebileceğini gösterdi:
- İçerik Zehirlenmesi: Saldırgan zararsız görünen bir Google Dokümanı, Takvim girişi veya Gmail iletisi oluşturur. İçerisinde Gemini Enterprise’a yetkili Çalışma Alanı verileri içindeki hassas terimleri bulmasını ve bu sonuçları saldırgan tarafından kontrol edilen bir resim URL’sine yerleştirmesini söyleyen bir yönerge gizliydi.
- Tetiklemek: Rutin bir arama yapan sıradan bir çalışan, yanlışlıkla yapay zekanın tahrif edilmiş içeriği alıp işlemesine neden olabilir.
- Yapay Zeka Yürütme: Gemini, geri alındığında gizli talimatları yanlış yorumladı. Sistem daha sonra belirtilen hassas bilgiler için mevcut erişim izinlerine göre kurumsal Çalışma Alanı verilerini taradı.
- Süzme: Yanıt sırasında yapay zeka, kötü amaçlı bir resim etiketi ekledi. Tarayıcı bu etiketi oluşturduğunda, çıkarılan verileri sıradan bir HTTP isteği kullanarak otomatik olarak saldırganın sunucusuna aktardı. Bu, geleneksel savunmalardan kaçarak tespit edilmeden gerçekleşti.
Araştırmacılar, kusurun Gemini Enterprise’ın arama fonksiyonunun Alma-Artırılmış Üretime (RAG) dayanması nedeniyle ortaya çıktığını açıkladı. RAG, kuruluşların önceden yapılandırılmış erişim ayarları aracılığıyla birden fazla Çalışma Alanı kaynağını sorgulamasına olanak tanır.
Araştırmacılar, “Kuruluşların RAG sisteminin hangi veri kaynaklarına erişebileceğini önceden yapılandırması gerekiyor” dedi. “Yapılandırıldıktan sonra sistem bu veri kaynaklarına kalıcı erişime sahip olur.veya tüm kullanıcı sorguları.” Güvenlik açığının “veri kaynaklarındaki kullanıcı tarafından kontrol edilen içerik ile yapay zeka modelinin talimat işlemesi arasındaki güven sınırından” yararlandığını eklediler.
GeminiJack’in adım adım kavram kanıtlaması 8 Aralık’ta yayınlandı.
Google’ın Yanıtı ve Sektöre Etkileri
Google, raporu aldığını Ağustos 2025’te doğruladı ve sorunu çözmek için araştırmacılarla iş birliği yaptı. Şirket, Gemini Enterprise ve Vertex AI Search’ün erişim ve indeksleme sistemleriyle etkileşimini değiştiren güncellemeler yayınladı. Düzeltmenin ardından Vertex AI Search, Gemini Enterprise’dan tamamen ayrıldı ve artık aynı LLM tabanlı iş akışlarını veya RAG işlevselliğini paylaşmıyor.
Yamaya rağmen güvenlik araştırmacıları, daha fazla kuruluşun kapsamlı erişim ayrıcalıklarına sahip yapay zeka sistemlerini benimsemesiyle benzer dolaylı istem enjeksiyon saldırılarının ortaya çıkabileceği konusunda uyardı. Geleneksel çevre savunmaları, uç nokta güvenlik ürünleri ve DLP araçlarının “AI asistanınızın bir sızma motoruna dönüştüğünü tespit etmek için tasarlanmadığını” belirttiler.
Araştırmacılar, “Yapay zeka ajanları kurumsal verilere daha geniş erişim kazandıkça ve talimatlara göre hareket etme özerkliğine sahip oldukça, tek bir güvenlik açığının patlama yarıçapı katlanarak genişliyor” sonucuna vardı. Kuruluşlara güven sınırlarını yeniden değerlendirmeleri, izlemeyi güçlendirmeleri ve yapay zeka güvenliği çalışmaları konusunda güncel kalmaları tavsiyesinde bulundular.