Num novo estudo, uma equipa de investigadores de cibersegurança demonstrou que o Gemini, o assistente de IA da Google, podia ser hackeado, dando a atacantes a possibilidade de controlarem equipamentos inteligentes nas casas das vítimas, mas também de realizarem outras ações maliciosas.

A equipa, composta por investigadores do Instituto de Tecnologia de Israel‎ (Technion), da Universidade de Tel Aviv e da empresa de cibersegurança SafeBreach, explica que tudo começa com um convite “envenenado” no Google Calendar, com instruções para ligar os equipamentos a uma determinada altura.

Quando alguém pede ao assistente da Google para fazer um resumo das tarefas e eventos que tem no seu calendário, as instruções são ativadas, ligando os equipamentos. Os convites “envenenados” fazem uso de uma tática conhecida como injeção de prompt indireta.

Através dela, uma fonte externa é capaz de inserir instruções maliciosas invisíveis para humanos, mas legíveis para um sistema de IA. Estas instruções podem ser integradas, por exemplo, num texto ou site e, ao serem processadas pelo sistema, levam-no a realizar um conjunto de ações que as vítimas não estavam à espera.

Mas os ataques que têm como alvo equipamentos inteligentes são apenas um dos exemplos apresentados pelos investigadores num novo estudo. Ao todo, a equipa descobriu 14 ataques que fazem uso de táticas de injeção de prompt indireta contra o Gemini, incluindo na app para smartphones e na versão web do assistente.

O Gemini conseguiu ser manipulado para realizar ações maliciosas como enviar links de spam, gerar conteúdo ofensivo, iniciar chamadas automaticamente, roubar dados através do browser ou descarregar ficheiros para o smartphone.

Para a equipa, a descoberta, reportada à Google em fevereiro,marca aquilo que acreditam ser a primeira vez que um ataque a um sistema de IA generativa causa consequências no mundo real.

À Wired, Ben Nassi, investigador da Universidade de Tel Aviv, afirma que “os modelos de linguagem de grande escala (LLMs) estão prestes a ser integrados em [robots] humanoides, em carros semi e totalmente autónomos e precisamos mesmo de saber como os proteger antes de os integrarmos neste tipo de máquinas”.

Em declarações à revista, Andy Wen, um dos responsáveis pela área de segurança do Google Workspace, afirma que, embora as vulnerabilidades detectadas ainda não tenham sido exploradas por atacantes, a tecnológica leva-as “extremamente a sério” e já implementou várias correções.