Google ਦੇ AI ਸਹਾਇਕ Gemini ਵਿੱਚ Calendar ਐਕਸੈੱਸ ਫੀਚਰ ਨਾਲ ਜੁੜੀ ਇੱਕ ਸੁਰੱਖਿਆ ਕਮੀ ਸਾਹਮਣੇ ਆਈ ਸੀ, ਜਿਸ ਕਾਰਨ Indirect Prompt Injection ਤਕਨੀਕ ਰਾਹੀਂ ਹਮਲਾਵਰ ਵਰਤੋਂਕਾਰਾਂ ਦੀ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਹਾਸਲ ਕਰ ਸਕਦੇ ਸਨ। ਇਹ ਕਮੀ Miggo Security ਵੱਲੋਂ ਪਛਾਣੀ ਗਈ ਅਤੇ Google ਦੀ ਸੁਰੱਖਿਆ ਟੀਮ ਨੂੰ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ, ਜਿਸ ਤੋਂ ਬਾਅਦ Google ਨੇ ਇਸ ਸਮੱਸਿਆ ਨੂੰ ਠੀਕ ਕਰ ਦਿੱਤਾ।
ਸੁਰੱਖਿਆ ਖੋਜਕਾਰਾਂ ਮੁਤਾਬਕ, Gemini ਕੋਲ Google Calendar ਨੂੰ ਸਕੈਨ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ, ਜਿਸ ਨਾਲ ਅਪੌਇੰਟਮੈਂਟ, ਉਪਲਬਧ ਸਮੇਂ ਅਤੇ ਆਉਣ ਵਾਲੇ ਇਵੈਂਟਸ ਨਾਲ ਸੰਬੰਧਿਤ ਜਾਣਕਾਰੀ ਪ੍ਰੋਸੈਸ ਹੋ ਸਕਦੀ ਹੈ। ਇਸੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, ਹਮਲਾਵਰ ਆਮ ਦਿਖਾਈ ਦੇਣ ਵਾਲੀਆਂ Calendar ਇਨਵਾਈਟਸ ਭੇਜ ਸਕਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਦੇ ਵੇਰਵੇ ਵਿੱਚ ਲੁਕੇ ਹੋਏ ਨਿਰਦੇਸ਼ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਮਨੁੱਖ ਅਕਸਰ ਇਨ੍ਹਾਂ ਨਿਰਦੇਸ਼ਾਂ ਨੂੰ ਪਛਾਣ ਨਹੀਂ ਸਕਦਾ, ਪਰ AI ਉਨ੍ਹਾਂ ਨੂੰ ਪ੍ਰੋਸੈਸ ਕਰ ਸਕਦਾ ਹੈ।
Miggo Security ਦੇ ਖੋਜਕਾਰਾਂ ਨੇ ਦਰਸਾਇਆ ਕਿ Indirect Prompt Injection ਤਕਨੀਕ ਰਾਹੀਂ AI ਨੂੰ ਭੁਲਾਵੇ ਵਿੱਚ ਪਾ ਕੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਸਾਹਮਣੇ ਆ ਸਕਦੀ ਹੈ। ਇਸ ਤਰੀਕੇ ਹੇਠ, ਜਦੋਂ ਵਰਤੋਂਕਾਰ Gemini ਤੋਂ ਕਿਸੇ ਨਿਰਧਾਰਤ ਤਾਰੀਖ਼ ਉਪਲਬਧਤਾ ਬਾਰੇ ਪੁੱਛਦਾ ਹੈ, ਤਾਂ AI ਪੂਰੇ Calendar ਨੂੰ ਸਕੈਨ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸ ਦੌਰਾਨ ਸ਼ੱਕੀ ਇਨਵਾਈਟਸ ਨੂੰ ਵੀ ਪ੍ਰੋਸੈਸ ਕਰ ਸਕਦਾ ਹੈ।
ਇਸ ਕਮੀ ਬਾਰੇ ਜਾਣਕਾਰੀ ਮਿਲਣ ਤੋਂ ਬਾਅਦ, Google ਨੇ ਅੰਦਰੂਨੀ ਸਮੀਖਿਆ ਕੀਤੀ ਅਤੇ Gemini ਵਿੱਚ ਮੌਜੂਦ ਸੁਰੱਖਿਆ ਕਮੀ ਨੂੰ ਸਵੀਕਾਰ ਕਰਦੇ ਹੋਏ ਲੋੜੀਂਦੇ ਸੁਧਾਰ ਲਾਗੂ ਕੀਤੇ। Google ਨੇ ਕਿਹਾ ਕਿ ਸਮੱਸਿਆ ਦੀ ਪਛਾਣ ਹੋਣ ਮਗਰੋਂ ਉਚਿਤ ਸੁਰੱਖਿਆ ਫਿਕਸ ਜਾਰੀ ਕੀਤਾ ਗਿਆ।
ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਗਿਆਨ ਨੇ ਵਰਤੋਂਕਾਰਾਂ ਨੂੰ ਅਣਜਾਣ ਜਾਂ ਸ਼ੱਕੀ Calendar ਇਨਵਾਈਟਸ ਤੋਂ ਸਾਵਧਾਨ ਰਹਿਣ ਅਤੇ Gemini ਤੇ ਸੰਬੰਧਿਤ ਸੇਵਾਵਾਂ ਦੇ ਨਵੀਂ ਤੋਂ ਨਵੀਂ ਵਰਜਨ ਵਰਤਣ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਹੈ। ਇਸ ਘਟਨਾ ਨੇ ਦਰਸਾਇਆ ਹੈ ਕਿ AI-ਆਧਾਰਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਵੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖਤਰੇ ਮੌਜੂਦ ਹਨ।
