Google ha corregit una vulnerabilitat de zero clics a Gemini Enterprise que podria provocar filtracions de dades corporatives.

La fallada va ser descoberta el juny de 2025 per investigadors de seguretat de Noma Security i informada a Google el mateix dia.

Anomenat «GeminiJack» pels investigadors, és una debilitat arquitectònica de Google Gemini Enterprise, el conjunt d’eines d’assistència d’IA corporativa de Google, i de Vertex AI Search, una plataforma de Google Cloud per crear experiències de cerca i recomanació basades en IA.

Aquesta debilitat permet un tipus d’injecció immediata indirecta que permet que els atacants afegeixin instruccions malicioses a documents comuns de Gmail, Google Calendar, Google Documents (o qualsevol altre component de Google Workspace al qual Gemini Enterprise hagi accedit) per exfiltrar informació corporativa delicada.

L’explotació d’aquesta falla no requereix que l’empleat objectiu faci clic enlloc i no activa cap control de seguretat.

Cadena d’atac de GeminiJack

L’atacant només necessita inserir instruccions ocultes dins d’un document compartit o contribuït externament per dur a terme l’atac.

Aquí teniu el desglossament dels passos principals de la cadena d’atac:

• Intoxicació per contingut: un atacant crea un document de Google, un esdeveniment de calendari o un correu electrònic de Gmail aparentment inofensiu que conté instruccions ocultes perquè Gemini Enterprise cerqui termes sensibles i incrusti els resultats en un URL d’imatge externa que controlen.
• Disparador: un empleat legítim realitza una cerca rutinària, cosa que fa que la IA processi involuntàriament el contingut enverinat de l’atacant.
• Execució de la IA: Gemini recupera el document de l’atacant, malinterpreta les instruccions com a vàlides i escaneja les dades autoritzades de l’espai de treball per detectar els termes sensibles.
• Exfiltració: la IA inclou l’etiqueta d’imatge maliciosa de l’atacant a la seva resposta. Quan es carrega, el navegador de la víctima envia les dades robades al servidor de l’atacant mitjançant una sol·licitud HTTP estàndard, cosa que evita les comprovacions de seguretat tradicionals.

Aquest atac va funcionar perquè la funció de cerca de Google Gemini Enterprise AI implementa una arquitectura de generació augmentada de recuperació (RAG) que permet que les organitzacions facin consultes a través de diverses fonts de dades a Google Workspace.

«Les organitzacions han de preconfigurar a quines fonts de dades pot accedir el sistema RAG. Aquest pas de preconfiguració determina l’abast de les dades disponibles per al model Gemini durant el processament de consultes. Un cop configurat, el sistema té accés persistent a aquestes fonts de dades per a totes les consultes dels usuaris», van dir els investigadors de Noma Security.

«La vulnerabilitat explota el límit de confiança entre el contingut controlat per l’usuari a les fonts de dades i el processament d’instruccions del model d’IA. Un atacant pot plantar instruccions malicioses dins del contingut que recupera i processa el sistema RAG.»

Noma Security ha compartit una prova de concepte (PoC) pas a pas per a aquesta vulnerabilitat al seu informe sobre GeminiJack, publicat el 8 de desembre.

L’adopció de la IA corporativa comporta un risc creixent d’injecció indirecta immediata

Google va confirmar la recepció de l’informe de vulnerabilitat de Noma Security a l’agost i va començar a treballar amb ells per solucionar-lo.

El gegant tecnològic va implementar actualitzacions que van canviar la manera com Gemini Enterprise i Vertex AI Search interactuen amb els seus sistemes de recuperació i indexació subjacents.

Després del descobriment, Vertex AI Search es va separar completament de Gemini Enterprise i ja no utilitza els mateixos fluxos de treball basats en models de llenguatge grans (LLM) ni les capacitats RAG.

No obstant això, els investigadors de Noma Security esperen que aquest atac no sigui l’últim d’aquest tipus.

Van afirmar que els controls tradicionals de defensa perimetral, les solucions de protecció de punts finals i les eines de prevenció de pèrdues de dades «no estaven dissenyats per detectar quan el vostre assistent d’IA es converteix en un motor d’exfiltració.»

«A mesura que els agents d’IA obtenen un accés més ampli a les dades corporatives i autonomia per actuar segons les instruccions, el radi d’explosió d’una sola vulnerabilitat s’expandeix exponencialment. Les organitzacions que implementen sistemes d’IA amb accés a dades delicades han de tenir en compte acuradament els límits de confiança, implementar un seguiment robust i mantenir-se informades sobre la investigació emergent en seguretat d’IA», van concloure els investigadors de Noma Security.

El Centre Nacional de Ciberseguretat (NCSC) del Regne Unit ha compartit recentment noves directrius per mitigar els atacs d’injecció ràpida.