أعلن باحثون في الأمن السيبراني عن ثلاث ثغرات أمنية في مساعد الذكاء الاصطناعي Google Gemini تم تصحيحها لاحقاً لكن كان يمكن لاستغلالها أن يشكل خطراً كبيراً على خصوصية المستخدمين وسرية بياناتهم. أوضحت الباحثة ليف ماتان أن الثغرات مجتمعة دعيت باسم Gemini Trifecta وتمتد عبر ثلاثة مكونات مستقلة ضمن مجموعة Gemini مما أتاح سيناريوهات استغلال متعددة تؤدي إلى تسريب بيانات محفوظة ومعلومات الموقع.
تتعلق الثغرة الأولى بقدرة Gemini Cloud Assist على تلخيص السجلات الخام، حيث يمكن للمهاجم إخفاء طلب موجه داخل حقل User-Agent في طلب HTTP إلى وظائف سحابية وخدمات مثل Cloud Run وApp Engine وCompute Engine وCloud Endpoints وCloud Asset API وCloud Monitoring API وRecommender API. يمكّن استغلال هذا السلوك المهاجم من حث الأداة على تنفيذ أوامر خبيثة عبر تلخيص السجلات وتعليم المكونات السحابية تنفيذ مهام غير مقصودة.
جاءت الثغرة الثانية في نموذج Search Personalization الخاص بقدرات البحث في Gemini حيث يمكن للمهاجمين حقن تعليمات ضمن سجل البحث في متصفح كروم عبر جافا سكريبت وإلحاقها بتاريخ التصفح للمستخدم بحيث يعامل نموذج التخصيص هذه الإدخالات كاستعلامات شرعية. بهذه الطريقة يمكن إجبار النموذج على تنفيذ تعليمات داخل سجل البحث ما يؤدي إلى تسريب معلومات محفوظة عن المستخدم أو تحديد موقعه الجغرافي.
ظهرت الثغرة الثالثة ضمن Gemini Browsing Tool بشكل غير مباشر عبر استدعاءات داخلية يقوم بها النموذج لتلخيص محتوى صفحات الويب. سمح استغلال هذا المسار بنقل بيانات المستخدم المحفوظة ومعلومات الموقع إلى خادم خارجي يسيطر عليه المهاجم دون حاجة Gemini إلى عرض روابط أو صور على المستخدم.
بينت Tenable أن سيناريو هجوم واقعي قد يتضمن إدراج المعلومة الخاصة بالمستخدم داخل رابط أو طلب HTTP إلى خادم خبيث بحيث يُعاد توجيه بيانات حساسة تلقائياً دون تدخل المستخدم. مثال آخر موضح يتعلق باستغلال صلاحيات Gemini في استدعاء Cloud Asset API للبحث في الأصول العامة أو البحث عن أخطاء تكوين IAM ثم تضمين النتائج الحساسة في رابط يمكن نقله أو استخراجه لاحقاً.
يتطلب الاستغلال الثالث أن يقنع المهاجم المستخدم أولاً بزيارة موقع تم إعداده لحقن استعلامات بحث خبيثة في تاريخ التصفح ثم عند تفاعل المستخدم مع نموذج تخصيص البحث تتم معالجة هذه التعليمات الخبيثة وسرقة البيانات. عقب الإفصاح المسؤول عن الثغرات، أجرت جوجل تعديلات شملت إيقاف عرض الروابط في استجابات تلخيص السجلات وفرض تعزيزات إضافية لمنع حقن الأوامر.
تظهر هذه الحوادث أن أدوات الذكاء الاصطناعي قد تتحول إلى وسيلة هجوم بحد ذاتها وليس مجرد هدف. تتطلب حماية نظم الذكاء الاصطناعي رؤية واضحة لمواقع تواجدها في البنية التحتية وفرض سياسات صارمة للحد من إساءة استخدامها. كما أشار الباحثون إلى أن استغلال وكلاء ذكية التي تمتلك صلاحيات واسعة داخل بيئة العمل مثل تلك التي وصفتها CodeIntegrity ضد Notion قد يسمح بتسلسل مهام عبر مستندات وقواعد بيانات وموصلات خارجية بطريقة تتجاوز ضوابط الوصول التقليدية RBAC ما يوسع سطح الهجوم بشكل كبير ويسمح بسرقة البيانات أو إساءة استخدامها عبر سير آلي متعدد الخطوات.
تضمنت خلاصة الإجراءات المتخذة تصحيحات من جوجل وتعزيزات في سبل التصفية والتلخيص لمنع حقن الأوامر، لكن الحادثة تبقى تحذيراً للمؤسسات التي تنشر أو تعتمد على أدوات الذكاء الاصطناعي بأن الأمان يجب أن يكون جزءاً أساسياً من نشر هذه الأنظمة وصيانتها.
