Google நிறுவனத்தின் AI உதவியாளர் Gemini-யில் Calendar அணுகல் அம்சத்துடன் தொடர்புடைய ஒரு பாதுகாப்பு குறைபாடு கண்டறியப்பட்டது. இந்த குறைபாட்டின் மூலம் Indirect Prompt Injection நுட்பத்தை பயன்படுத்தி தாக்குதலாளர்கள் பயனர்களின் தனிப்பட்ட தகவல்களை அணுகும் அபாயம் ஏற்பட்டதாக தெரிவிக்கப்பட்டது. இந்த குறைபாட்டை Miggo Security கண்டறிந்து Google-ன் பாதுகாப்பு குழுவிற்கு அறிவித்ததைத் தொடர்ந்து, Google அதனை சரிசெய்துள்ளதாக தெரிவித்துள்ளது.
பாதுகாப்பு ஆராய்ச்சியாளர்களின் கூற்றுப்படி, Gemini-க்கு Google Calendar-ஐ ஸ்கேன் செய்யும் திறன் உள்ளது. இதன் மூலம் பயனர்களின் சந்திப்புகள், காலியிட நேரங்கள் மற்றும் வரவிருக்கும் நிகழ்வுகள் தொடர்பான தகவல்கள் செயலாக்கப்படலாம். இந்த செயல்முறையையே குறிவைத்து, சாதாரணமாக தோன்றும் Calendar அழைப்பிதழ்களை தாக்குதலாளர்கள் அனுப்பி, அதன் விவரப்பகுதியில் மறைக்கப்பட்ட கட்டளைகள் மூலம் AI-யை தவறாக வழிநடத்த முடியும் என கூறப்படுகிறது. இத்தகைய கட்டளைகளை மனிதர்கள் எளிதில் கவனிக்க முடியாத நிலையில், AI அவற்றை செயலாக்கக்கூடும்.
Miggo Security ஆய்வாளர்கள் Indirect Prompt Injection நுட்பத்தின் மூலம் AI-யை குழப்பி, 민감மான தகவல்கள் வெளியேறக்கூடிய சூழல் உருவாகலாம் என்பதை விளக்கினர். ஒரு குறிப்பிட்ட நாளில் பயனர் கிடைக்கிறாரா என Gemini-யிடம் கேட்கும்போது, AI முழு Calendar-ஐ ஸ்கேன் செய்து, அதில் உள்ள சந்தேகத்திற்குரிய அழைப்பிதழ்களையும் உள்ளடக்கி தகவல்களை செயலாக்கும் நிலை உருவாகும் என தெரிவிக்கப்பட்டது.
இந்த குறைபாடு குறித்து தகவல் கிடைத்ததும், Google உடனடியாக உள்நாட்டு ஆய்வு நடத்தி Gemini-யில் இருந்த பாதுகாப்பு குறைபாட்டை ஏற்றுக்கொண்டு தேவையான திருத்தங்களை செயல்படுத்தியதாக கூறியுள்ளது. குறைபாடு உறுதிப்படுத்தப்பட்ட பின்னர் பொருத்தமான பாதுகாப்பு திருத்தம் வெளியிடப்பட்டதாக Google தெரிவித்துள்ளது.
பாதுகாப்பு நிபுணர்கள், பயனர்கள் அறியாத அல்லது சந்தேகத்திற்குரிய Calendar அழைப்பிதழ்களைத் தவிர்க்கவும், Gemini மற்றும் தொடர்புடைய சேவைகளை எப்போதும் சமீபத்திய பதிப்பில் பயன்படுத்தவும் அறிவுறுத்தியுள்ளனர். இந்த சம்பவம் AI அடிப்படையிலான பயன்பாடுகளிலும் சைபர் பாதுகாப்பு அபாயங்கள் தொடர்ந்தும் உள்ளதை காட்டுகிறது.
