A Google decidiu não corrigir uma nova e preocupante falha de segurança no Gemini, o seu assistente de inteligência artificial, que permite a um atacante enganar o modelo com recurso a texto invisível. Esta vulnerabilidade pode ser usada para fornecer informações falsas aos utilizadores, alterar o comportamento do assistente e até "envenenar" silenciosamente os seus dados.
O ataque, conhecido como "ASCII smuggling", utiliza caracteres especiais do bloco Unicode "Tags" para introduzir comandos maliciosos que são completamente invisíveis para o utilizador, mas que são lidos e processados pelos Modelos de Linguagem de Grande Escala (LLMs).
O que é o "ASCII smuggling"?
Imagine que está a ler um texto normal, mas escondido entre as letras existem instruções secretas que só uma máquina consegue ver. É assim que funciona o "ASCII smuggling". Explora a diferença entre o que os humanos veem no ecrã e o que os sistemas de IA leem no código subjacente.
Embora a suscetibilidade dos LLMs a este tipo de ataque não seja uma descoberta recente, o nível de risco aumentou drasticamente. Anteriormente, o perigo limitava-se a situações em que o utilizador era convencido a colar texto malicioso num chatbot. Agora, com assistentes como o Gemini para Android, que têm acesso a dados sensíveis e podem executar tarefas de forma autónoma, a ameaça é muito mais significativa.
Gemini e Grok são vulneráveis, mas a Google desvaloriza o risco
Viktor Markopoulos, um investigador de segurança da empresa de cibersegurança FireTail, testou a vulnerabilidade em várias ferramentas de IA populares. Os resultados mostram que o Gemini (através de convites de calendário ou emails), o DeepSeek (através de comandos) e o Grok da xAI são vulneráveis ao ataque.
Por outro lado, modelos como o Claude, o ChatGPT e o Microsoft Copilot mostraram-se seguros, uma vez que implementam algum tipo de validação dos dados de entrada para filtrar estes caracteres.
O investigador reportou as suas descobertas à Google a 18 de setembro. No entanto, a gigante tecnológica desvalorizou o problema, afirmando que não se trata de uma falha de segurança, mas sim de um problema que só pode ser explorado através de ataques de engenharia social. Curiosamente, outras empresas, como a Amazon, publicaram guias detalhados sobre os perigos deste tipo de manipulação.
Quais são os perigos reais para os utilizadores?
A integração do Gemini com o Google Workspace representa o risco mais elevado. Um atacante pode enviar um convite de calendário ou um email com texto invisível. Markopoulos demonstrou que é possível esconder instruções no título do convite, falsificar a identidade do organizador e contrabandear descrições ou links maliciosos.
"Para os utilizadores com LLMs ligados às suas caixas de correio, um simples email com comandos escondidos pode instruir o LLM a procurar por itens sensíveis ou a enviar detalhes de contactos, transformando uma tentativa de phishing padrão numa ferramenta de extração autónoma de dados", alerta o investigador.
Num dos seus testes, Markopoulos conseguiu que o Gemini recomendasse um site potencialmente malicioso como sendo um bom local para comprar um telemóvel com desconto. Com o crescimento de assistentes de IA cada vez mais autónomos, a decisão da Google de ignorar esta falha pode revelar-se perigosa.
Nenhum comentário
Seja o primeiro!