Investigadores de ciberseguridad han revelado detalles de una descompostura de seguridad que aprovecha la inyección indirecta dirigida a Google Gemini como una forma de eludir las barreras de autorización y utilizar Google Calendar como mecanismo de cuna de datos.
La vulnerabilidad, dijo el superior de investigación de Miggo Security, Liad Eliyahu, hizo posible eludir los controles de privacidad de Google Calendar al ocultar una carga maliciosa inactiva internamente de una invitación de calendario standard.
“Esta omisión permitió el llegada no calificado a datos de reuniones privadas y la creación de eventos de calendario engañosos sin ninguna interacción directa del legatario”, dijo Eliyahu en un noticia compartido con The Hacker News.
El punto de partida de la dependencia de ataque es un nuevo evento de calendario esmerado por el actor de la amenaza y enviado a un objetivo. La descripción de la invitación incorpora un mensaje en idioma natural que está diseñado para cumplir sus órdenes, lo que resulta en una inyección rápida.
El ataque se activa cuando un legatario le hace a Gemini una pregunta completamente inofensiva sobre su dietario (por ejemplo, ¿Tengo alguna reunión para el martes?), lo que hace que el chatbot de inteligencia industrial (IA) analice el mensaje especialmente diseñado en la descripción del evento antiguamente mencionado para resumir todas las reuniones de los usuarios para un día específico, agregue estos datos a un evento de Google Calendar recién creado y luego devuelva una respuesta inofensiva al legatario.
“Sin requisa, detrás de número, Gemini creó un nuevo evento de calendario y escribió un sinopsis completo de las reuniones privadas de nuestro legatario objetivo en la descripción del evento”, dijo Miggo. “En muchas configuraciones de calendario empresarial, el nuevo evento era visible para el atacante, lo que le permitía interpretar los datos privados exfiltrados sin que el legatario objetivo tomara ninguna medida”.
Aunque desde entonces el problema se ha abordado tras una divulgación responsable, los hallazgos ilustran una vez más que las características nativas de la IA pueden ampliar la superficie de ataque e introducir inadvertidamente nuevos riesgos de seguridad a medida que más organizaciones utilizan herramientas de IA o construyen sus propios agentes internamente para automatizar los flujos de trabajo.
“Las aplicaciones de IA pueden manipularse a través del mismo idioma para el que fueron diseñadas”, señaló Eliyahu. “Las vulnerabilidades ya no se limitan al código. Ahora residen en el idioma, el contexto y el comportamiento de la IA en tiempo de ejecución”.
La divulgación se produce días posteriormente de que Varonis detallara un ataque llamado Reprompt que podría activo hecho posible que los adversarios exfiltraran datos confidenciales de chatbots de inteligencia industrial (IA) como Microsoft Copilot con un solo clic, evitando al mismo tiempo los controles de seguridad empresariales.
Los hallazgos ilustran la condición de evaluar constantemente grandes modelos de idioma (LLM) en dimensiones secreto de seguridad, poniendo a prueba su inclinación por las alucinaciones, la precisión de los hechos, el sesgo, el daño y la resistor al jailbreak, y al mismo tiempo proteger los sistemas de inteligencia industrial de los problemas tradicionales.
La semana pasada, XM Cyber de Schwarz Group reveló nuevas formas de subir privilegios internamente de Agent Engine y Ray de Google Cloud Vertex AI, lo que subraya la condición de que las empresas auditen cada cuenta de servicio o identidad adjunta a sus cargas de trabajo de IA.
“Estas vulnerabilidades permiten a un atacante con permisos mínimos secuestrar agentes de servicio con altos privilegios, convirtiendo efectivamente estas identidades administradas ‘invisibles’ en ‘agentes dobles’ que facilitan la ascensión de privilegios”, dijeron los investigadores Eli Shparaga y Erez Hasson.
La explotación exitosa de las fallas del agente doble podría permitir a un atacante interpretar todas las sesiones de chat, interpretar memorias LLM y interpretar información potencialmente confidencial almacenada en depósitos de almacenamiento u obtener llegada raíz al clúster de Ray. Poliedro que Google afirma que los servicios actualmente “funcionan según lo previsto”, es esencial que las organizaciones revisen las identidades con la función de Visor y garanticen que existan controles adecuados para evitar la inyección de código no calificado.
El incremento coincide con el descubrimiento de múltiples vulnerabilidades y debilidades en diferentes sistemas de IA.
- Fallos de seguridad (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 y CVE-2026-0616) en The Librarian, una aparejo de asistente personal impulsada por IA proporcionada por TheLibrarian.io, que permite a un atacante obtener a su infraestructura interna, incluida la consola del administrador y el entorno de la cúmulo, y, en última instancia, filtrar información confidencial, como metadatos de la cúmulo, ejecutar procesos internamente del backend. y el indicador del sistema, o inicie sesión en su sistema backend interno.
- Una vulnerabilidad que demuestra cómo se pueden extraer indicaciones del sistema de asistentes LLM basados en intenciones solicitándoles que muestren la información en formato codificado en Base64 en los campos del formulario. “Si un LLM puede ejecutar acciones que escriben en cualquier campo, registro, entrada de colchoneta de datos o archivo, cada uno se convierte en un canal de exfiltración potencial, independientemente de cuán bloqueada esté la interfaz de chat”, dijo Praetorian.
- Un ataque que demuestra cómo un complemento zorro subido a un mercado de Anthropic Claude Code se puede utilizar para eludir las protecciones humanas mediante ganchos y exfiltrar los archivos de un legatario mediante una inyección indirecta.
- Una vulnerabilidad crítica en Cursor (CVE-2026-22708) que permite la ejecución remota de código mediante inyección indirecta de aviso al explotar una supervisión fundamental en cómo los IDE agentes manejan los comandos integrados del shell. “Al explotar de las funciones integradas implícitamente confiables del shell, como exportar, componer y fallar, los actores de amenazas pueden manipular silenciosamente variables de entorno que luego envenenan el comportamiento de las herramientas de incremento legítimas”, dijo Pillar Security. “Esta dependencia de ataque convierte comandos benignos y aprobados por el legatario, como git branch o python3 script.py, en vectores de ejecución de código arbitrarios”.
Un observación de seguridad de cinco IDE de codificación de Vibe, a aprender. Cursor, Claude Code, OpenAI Codex, Replit y Devin, que encontraron agentes de codificación, son buenos para evitar inyecciones de SQL o fallas XSS, pero tienen dificultades cuando se tráfico de manejar problemas de SSRF, método de negocios y hacer cumplir la autorización adecuada al obtener a las API. Para empeorar las cosas, ninguna de las herramientas incluía protección CSRF, encabezados de seguridad o restricción de la tasa de inicio de sesión.
La prueba destaca los límites actuales de la codificación de vibraciones y muestra que la supervisión humana sigue siendo secreto para tocar estas brechas.
“No se puede dejarlo en Dios en los agentes codificadores para diseñar aplicaciones seguras”, dijo Ori David de Tenzai. Si correctamente pueden producir código seguro (en algunas ocasiones), los agentes constantemente no implementan controles de seguridad críticos sin una manual explícita. Cuando los límites no están claros (flujos de trabajo de método empresarial, reglas de autorización y otras decisiones de seguridad matizadas), los agentes cometerán errores”.
