Funkcja podsumowań wiadomości e-mail w Gmailu, napędzana przez Google Gemini, może być wykorzystana przez cyberprzestępców do ataków phishingowych. Badacz Marco Figueroa zgłosił lukę do programu bug bounty Mozilla 0din 10 lipca 2025 roku, która pozwala na wstrzyknięcie złośliwych instrukcji w pozornie bezpieczne podsumowania AI.
Rosnący problem z bezpieczeństwem AI
To nie pierwszy przypadek problemów z bezpieczeństwem asystentów AI w środowisku korporacyjnym. Już we wrześniu 2024 roku firma HiddenLayer wykazała podatności w Google Gemini for Workspace, demonstrując, jak atakujący mogą manipulować wynikami AI w Gmailu, Google Slides i Google Drive.
Co więcej, najnowszy raport Google z końca stycznia 2025 roku ujawnił, że finansowane przez państwa grupy hakerskie, szczególnie z Iranu, aktywnie wykorzystują Gemini do wspierania różnych faz ataków cybernetycznych – od rozpoznania po tworzenie złośliwego kodu. Analiza Google Threat Intelligence Group pokazała, że irańscy aktorzy APT stanowili największą grupę wykorzystującą Gemini do celów hakerskich.
Jak działa luka w Gmail AI?
Google Gemini został zintegrowany z aplikacjami Workspace już jakiś czas temu, oferując między innymi możliwość automatycznego podsumowywania treści wiadomości e-mail. Funkcja ta jest dostępna w panelu bocznym Gmail i pozwala na szybkie przeglądanie kluczowych informacji z otrzymanych wiadomości.
Problem polega na podatności na ataki typu “prompt injection”. Hakerzy mogą ukryć złośliwe polecenia w treści e-maila, wykorzystując proste sztuczki HTML i CSS – na przykład biały tekst na białym tle lub czcionkę o rozmiarze zero. Dla użytkownika taka treść jest niewidoczna, ale Gemini odczytuje ją bez problemu.
Dlaczego to takie niebezpieczne?
Największym problemem jest fakt, że złośliwe wiadomości nie zawierają typowych sygnałów ostrzegawczych – brak podejrzanych linków czy załączników sprawia, że łatwo przechodzą przez filtry bezpieczeństwa Google. Ponadto, ponieważ fałszywe podsumowania pochodzą oficjalnie od AI Google, użytkownicy mogą im ufać bez zastanowienia.
Kluczowe zagrożenia:
- Fałszywe podsumowania wyglądające jak oficjalne komunikaty Google
- Omijanie standardowych filtrów antyspamowych Gmail
- Brak ostrzeżeń o potencjalnym zagrożeniu
- Wykorzystanie zaufania użytkowników do AI Google
- Potencjalne rozprzestrzenianie się ataków na inne usługi Workspace
Cybersecurity News ostrzega, że podatność wykracza poza Gmail i może wpływać na integrację Gemini w całym Google Workspace, włączając Docs, Slides i funkcje wyszukiwania w Drive. To tworzy znaczną powierzchnię ataku, gdzie każdy workflow obejmujący treści od stron trzecich przetwarzane przez Gemini może stać się potencjalnym wektorem iniekcji.
Dotychczasowe przypadki testowe
Choć Google zapewnia, że nie odnotowano rzeczywistych ataków, badacze już testują różne scenariusze. TechSpot określa ten atak jako “stupidly easy” (głupio łatwy), podkreślając jego prostotę i skuteczność.
Figueroa opisał ataki prompt injection jako “nowe makra e-mailowe”, zauważając, że postrzegana wiarygodność podsumowań generowanych przez AI tylko czyni zagrożenie bardziej poważnym.
Odpowiedź Google na zagrożenie
Google nie pozostaje bezczynny wobec rosnących zagrożeń. W czerwcu 2025 roku firma opublikowała szczegółowy plan obrony przed atakami prompt injection, wprowadzając wielowarstwową strategię bezpieczeństwa:
Nowe zabezpieczenia Gemini:
- Klasyfikatory treści prompt injection – modele ML wykrywające złośliwe instrukcje w różnych formatach
- Wzmacnianie myślenia bezpieczeństwa – dodatkowe instrukcje bezpieczeństwa wokół treści promptu
- Sanityzacja Markdown i usuwanie podejrzanych URL – ochrona przed zewnętrznymi linkami wykorzystująca Google Safe Browsing
- Framework potwierdzania użytkownika – wymaganie potwierdzenia dla ryzykownych operacji (Human-In-The-Loop)
- Powiadomienia bezpieczeństwa końcowego użytkownika – informowanie o zablokowanych atakach z linkami do materiałów edukacyjnych
Google twierdzi, że trening modeli z danymi adversarialnymi znacząco wzmocnił obronę przed atakami indirect prompt injection w modelach Gemini 2.5. Jak podaje The Hacker News, Google implementuje strategię “defense-in-depth”, mającą na celu zwiększenie trudności, kosztów i złożoności wymaganych od atakujących.
Dodatkowo, najnowsze AI Security announcements z lipca 2025 roku pokazują, że Google rozwija narzędzie Big Sleep – agenta AI, który aktywnie wyszukuje nieznane luki bezpieczeństwa i niedawno odkrył krytyczną lukę SQLite (CVE-2025-6965), którą wcześniej znali tylko cyberprzestępcy.
Co możemy zrobić?
Dla użytkowników:
- Zachować czujność przy interpretacji podsumowań AI
- Weryfikować podejrzane treści bezpośrednio w oryginalnej wiadomości
- Nie ufać ślepo alertom bezpieczeństwa generowanym przez AI
- Pamiętać, że podsumowania Gemini są informacyjne, a nie autorytatywne ostrzeżenia bezpieczeństwa
Dla zespołów bezpieczeństwa:
- Implementacja filtrów HTML usuwających niewidoczne stylowanie (font-size:0, opacity:0, color:white)
- Konfiguracja firewalli LLM i wzmocnienie system prompts
- Skanowanie output Gemini pod kątem numerów telefonów, URL-i i pilnego języka bezpieczeństwa
- Szkolenia użytkowników w zakresie świadomości zagrożeń AI
Czytaj też: Google przygotowuje interaktywne książeczki dla Gemini. Sztuczna inteligencja opowie bajkę
Czy Google uda się wyprzedzić cyberprzestępców w wyścigu o bezpieczeństwo AI? PCWorld słusznie zauważa, że w erze rosnącego zaufania do sztucznej inteligencji fakt, że nawet AI może zostać oszukane, jest szczególnie niepokojący. Zwłaszcza że hakerzy już wykorzystują LLM do bardziej efektywnego rozprzestrzeniania swoich wpływów. To wyścig, który dopiero się rozpoczyna – a stawką jest zaufanie do technologii, która ma nam pomagać, a nie szkodzić.