Googleയുടെ AI അസിസ്റ്റന്റായ Geminiയിൽ Calendar ആക്സസ് ഫീച്ചറുമായി ബന്ധപ്പെട്ട ഒരു സുരക്ഷാ ദൗർബല്യം കണ്ടെത്തിയിരുന്നു. ഈ ദൗർബല്യം ഉപയോഗിച്ച് Indirect Prompt Injection സാങ്കേതികത വഴി ആക്രമികൾക്ക് ഉപയോക്താക്കളുടെ സ്വകാര്യ വിവരങ്ങളിലേക്കുള്ള പ്രവേശനം നേടാൻ സാധ്യതയുണ്ടെന്ന് കണ്ടെത്തി. ഈ പ്രശ്നം Miggo Security തിരിച്ചറിഞ്ഞ് Googleയുടെ സുരക്ഷാ ടീമിനെ അറിയിച്ചതിനെ തുടർന്ന് Google ഇത് പരിഹരിച്ചതായി അറിയിച്ചു.
സുരക്ഷാ ഗവേഷകരുടെ അഭിപ്രായത്തിൽ, Geminiയ്ക്ക് Google Calendar സ്കാൻ ചെയ്യാനുള്ള കഴിവുണ്ട്. ഇതിലൂടെ അപ്പോയിന്റ്മെന്റുകൾ, ലഭ്യമായ സമയം, വരാനിരിക്കുന്ന ഇവന്റുകൾ എന്നിവയുമായി ബന്ധപ്പെട്ട വിവരങ്ങൾ പ്രോസസ് ചെയ്യപ്പെടുന്നു. ഈ പ്രക്രിയയെ ലക്ഷ്യമാക്കി, സാധാരണയായി തോന്നുന്ന Calendar ക്ഷണങ്ങൾ ആക്രമികൾ അയക്കുകയും, അതിന്റെ വിവരണ ഭാഗത്തിൽ മറച്ചുവെച്ച നിർദേശങ്ങളിലൂടെ AIയെ തെറ്റിദ്ധരിപ്പിക്കാനും കഴിയുമെന്നതാണ് കണ്ടെത്തൽ. ഇത്തരം നിർദേശങ്ങൾ മനുഷ്യർക്ക് എളുപ്പത്തിൽ തിരിച്ചറിയാനാകില്ലെങ്കിലും, AI അവ പ്രോസസ് ചെയ്യാൻ സാധ്യതയുണ്ടെന്ന് റിപ്പോർട്ടിൽ പറയുന്നു.
Miggo Securityയുടെ ഗവേഷകർ Indirect Prompt Injection സാങ്കേതികത ഉപയോഗിച്ച് AIയെ ആശയക്കുഴപ്പത്തിലാക്കി സൂക്ഷ്മമായ വിവരങ്ങൾ പുറത്തുവരുന്ന സാഹചര്യം ഉണ്ടാകാമെന്ന് വിശദീകരിച്ചു. ഉപയോക്താവ് ഒരു നിർദ്ദിഷ്ട തീയതിയിൽ ലഭ്യമാണോ എന്ന് Geminiയോട് ചോദിക്കുമ്പോൾ, AI മുഴുവൻ Calendar സ്കാൻ ചെയ്ത് അതിലുളള സംശയാസ്പദ ക്ഷണങ്ങളെയും ഉൾപ്പെടുത്തി വിവരങ്ങൾ പ്രോസസ് ചെയ്യാൻ സാധ്യതയുണ്ടെന്ന് അവർ വ്യക്തമാക്കി.
ഈ ദൗർബല്യത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ ലഭിച്ചതിന് പിന്നാലെ Google ആഭ്യന്തര പരിശോധന നടത്തി Geminiയിൽ ഉണ്ടായിരുന്ന സുരക്ഷാ ദൗർബല്യം അംഗീകരിക്കുകയും ആവശ്യമായ പരിഹാരങ്ങൾ നടപ്പാക്കുകയും ചെയ്തതായി അറിയിച്ചു. പ്രശ്നം സ്ഥിരീകരിച്ചതിന് ശേഷം അനുയോജ്യമായ സുരക്ഷാ പരിഹാരം പുറത്തിറക്കിയതായും Google വ്യക്തമാക്കി.
സുരക്ഷാ വിദഗ്ധർ ഉപയോക്താക്കൾ അറിയാത്തതോ സംശയാസ്പദമോ ആയ Calendar ക്ഷണങ്ങളോട് ജാഗ്രത പുലർത്തണമെന്നും Geminiയും ബന്ധപ്പെട്ട സേവനങ്ങളും എല്ലായ്പ്പോഴും ഏറ്റവും പുതിയ പതിപ്പിൽ ഉപയോഗിക്കണമെന്നും നിർദേശിച്ചിട്ടുണ്ട്. AI അധിഷ്ഠിത ആപ്ലിക്കേഷനുകളിലും സൈബർ സുരക്ഷാ ഭീഷണികൾ നിലനിൽക്കുന്നുവെന്ന് ഈ സംഭവം സൂചിപ്പിക്കുന്നു.
