A inteligência artificial tornou-se uma assistente indispensável para organizar a nossa vida digital, capaz de resumir emails e gerir a nossa agenda num piscar de olhos. No entanto, essa mesma prestabilidade pode ser transformada numa arma contra o utilizador. Investigadores de segurança descobriram recentemente uma forma de manipular o Google Gemini para que este entregue os segredos do utilizador diretamente aos atacantes, usando apenas um convite de calendário malicioso.
O ataque, que dispensa código complexo e recorre a instruções em linguagem natural, explora a forma como a IA interpreta e executa tarefas, contornando as defesas existentes.
Um "cavalo de Troia" na descrição do evento
A vulnerabilidade reside na capacidade do Gemini de ler e processar informações de várias aplicações do ecossistema Google, incluindo o Gmail e o Calendário. A equipa da Miggo Security descobriu que é possível esconder instruções maliciosas (prompt injection) dentro da descrição de um simples convite de calendário.
O processo de ataque é assustadoramente simples e eficaz. O atacante envia um convite para a vítima com uma descrição cuidadosamente elaborada. Esta "carga" permanece adormecida até que o utilizador faça uma pergunta rotineira ao seu assistente, como "O que tenho na agenda hoje?".
Ao tentar responder à questão, o Gemini lê todos os eventos relevantes, incluindo o malicioso. É nesse momento que a armadilha é ativada: a IA interpreta o texto da descrição não como informação passiva, mas como novas instruções a seguir. Os investigadores conseguiram persuadir o modelo a resumir todas as reuniões do dia (incluindo as privadas), criar um novo evento com esse resumo na descrição e responder ao utilizador com uma mensagem inócua para não levantar suspeitas.
A armadilha perfeita e a correção
O que torna este ataque particularmente perigoso é o facto de ocorrer num ambiente corporativo, onde a descrição atualizada do evento criado pelo Gemini ficaria visível para os participantes, entregando assim dados sensíveis diretamente ao atacante.
Segundo os investigadores, este método contornou as proteções da Google porque as instruções pareciam seguras e naturais. A empresa utiliza modelos isolados para detetar prompts maliciosos, mas a ambiguidade da linguagem natural permitiu que este ataque passasse despercebido. Este cenário sublinha a complexidade de proteger sistemas baseados em LLM, onde a fronteira entre dados e instruções é muitas vezes difusa.
Este tipo de vulnerabilidade não é totalmente inédito. Em agosto de 2025, a SafeBreach já havia demonstrado como convites maliciosos podiam ser usados para controlar agentes do Gemini, conforme detalhado pela Miggo Security. Apesar das defesas adicionais implementadas pela gigante tecnológica após esse incidente, as capacidades de raciocínio da IA continuaram suscetíveis a manipulação.
Após ter sido notificada sobre esta nova falha, a Google implementou novas mitigações para bloquear este vetor de ataque específico. No entanto, o caso serve como um lembrete de que a segurança das aplicações deve evoluir da simples deteção sintática para defesas que compreendam verdadeiramente o contexto.
Nenhum comentário
Seja o primeiro!