Firma Noma Security poinformowała 9 grudnia o wykryciu poważnej luki bezpieczeństwa typu zero-click w narzędziach Gemini Enterprise oraz Vertex AI Search firmy Google. Podatność umożliwiała przejęcie wrażliwych danych firmowych bez jakiejkolwiek interakcji ze strony użytkownika – wystarczyło, że sztuczna inteligencja przetwarzała zainfekowane treści.
Luka, nazwana GeminiJack, wykorzystywała mechanizm tzw. pośredniego prompt injection. Atak polegał na ukryciu instrukcji w pozornie nieszkodliwych dokumentach, zaproszeniach kalendarzowych lub e-mailach. Gdy pracownik korzystał z Gemini Enterprise do rutynowego wyszukiwania informacji, system AI automatycznie pobierał takie treści i wykonywał ukryte polecenia w połączonych usługach Google Workspace, takich jak Gmail, Dokumenty czy Kalendarz.
Jak podkreślili badacze, atak nie wymagał instalowania złośliwego oprogramowania ani klasycznego phishingu i nie generował alertów systemów zapobiegania wyciekom danych. Instrukcje mogły skłaniać AI do wyszukiwania poufnych informacji, np. dotyczących przejęć, wynagrodzeń czy kluczy API, a następnie do ich wyprowadzania na zewnętrzne serwery przy użyciu zamaskowanych zapytań.
Noma Security odkryła podatność 5 czerwca 2025 roku, wcześniej identyfikując podobne problemy w samym Vertex AI Search. Zdaniem ekspertów luka pokazuje nową klasę zagrożeń charakterystycznych dla systemów opartych na sztucznej inteligencji, wynikających z szerokiego dostępu do wielu źródeł danych jednocześnie.
Google potwierdziło ustalenia badaczy i wprowadziło zmiany w działaniu swoich narzędzi. Vertex AI Search został całkowicie oddzielony od Gemini Enterprise i nie korzysta już z tych samych mechanizmów wyszukiwania wspomaganego generowaniem treści. Według firmy wdrożone poprawki mają zapobiec podobnym atakom w przyszłości.
