Gemini levélszöveg-összefoglaló sérülékenysége
A Google Gemini for Workspace beépített levélszöveg-összefoglaló (email summary) funkciója egy súlyos prompt-injekciós sebezhetőséget tartalmaz, amelyet a Mozilla 0din bug bounty programjában fedeztek fel. Az alapműködés során az AI a beérkező e-mail tartalmát feldolgozva automatikusan összefoglalást készít – azonban a támadás révén ez a művelet hamis, rosszindulatú tartalmat eredményezhet.
A támadók HTML/CSS eszközökkel elrejtett promptokat illeszthetnek az e-mail törzsében: például fehér színű, 0‑es betűméretű szövegeket, amelyek csak akkor válnak relevánssá, ha a Gemini összefoglalót generál. Ezek az üzenetek biztonsági riasztásként tüntethetnek fel például a Gmail-fiók jelszava kiszivárgott vagy hívjon a technikai támogatásra típusú figyelmeztetéseket, amelyek félrevezetőek, de hitelesnek tűnnek, mert nem tartalmaznak valódi linket vagy csatolmányt.
Az összefoglalót készítő AI szempontjából teljesen természetes, hogy a promptban foglalt utasítást követi, ezért a felhasználó komoly phishing- vagy social-engineering áldozata lehet pusztán az AI által generált szöveg hatására. A támadás különösen alattomos: mivel nincs semmilyen látható jelzés, a levélszűrők sem akadályozzák meg a beérkezését, és a felhasználók alapból megbíznak a Google Workspace ökoszisztémában.
A sebezhetőség feltárója, Marco Figueroa (Mozilla), megjegyeztette, hogy a technikát implicit prompt-injectionnek nevezi, azt is javasolja, hogy a levelek testében található rejtett HTML‑tartalmakat semlegesíteni kell még az AI inputként történő feldolgozása előtt. Alternatív megközelítésként a Gemini válaszait poszt-feldolgozásként ellenőrizni lehet, és figyelmeztetni, ha gyanús biztonsági állítás jelenik meg (pl. jelszó kiszivárgás, nem valós kontakt elérhetőségek).
