كشف باحثون من شركة SafeBreach عن أسلوب هجوم مبتكر يعتمد على “حقن الأوامر غير المباشر” عبر إشعارات تطبيقات المراسلة؛ حيث نجحوا خلال تجاربهم في توجيه مساعد Google Gemini الصوتي على أنظمة Android لتنفيذ تعليمات برمجية مخفية ضمن إشعارات تبدو اعتيادية للمستخدم.
أوضح الباحث “أور يائير” من SafeBreach أن الإشعارات الواردة من منصات مثل WhatsApp وSlack وSignal وInstagram وMessenger، بالإضافة إلى الرسائل النصية SMS، كانت كافية في بيئة الاختبار لإقحام تعليمات معادية في سياق المحادثة الذي يعالجه Gemini، وذلك دون الحاجة إلى تثبيت أي برمجيات خبيثة على جهاز الضحية.
وتتمحور هذه الثغرة حول ميزة Utilities في تطبيق Gemini على Android، والتي تمنح المساعد صلاحية قراءة الإشعارات والرد عليها والتحكم في الوظائف المرتبطة بها. وأشارت SafeBreach إلى أن الخلل يكمن في تعامل المساعد مع نص الإشعار كجزء موثوق من سياق المحادثة؛ ما يتيح للمهاجم التلاعب بالمخرجات الصوتية، أو محاكاة رسائل من جهات موثوقة، أو دفع المستخدم للموافقة على إجراءات لم يقصد تنفيذها.
وقد أطلق الباحث على هذا التكتيك اسم Fake Context Alignment، وهو يعتمد على توليد سياقين متوازيين؛ سياق ظاهر يطمئن المستخدم، وسياق خفي تفسره أنظمة الحماية كطلب تفويض مشروع. ومن الأمثلة التي استعرضها البحث إخفاء استفسارات حساسة بلغات لا يتقنها المستخدم، أو تضمين نص تفويض داخل روابط يتجاهلها محرك القراءة الصوتية؛ لدفع المستخدم للإجابة بكلمة “نعم” على سؤال يبدو عادياً، بينما تربط الأنظمة الخلفية هذه الموافقة بإجراء مغاير تماماً.
أثبتت التجارب إمكانية استغلال هذا النمط في الوصول إلى الأدوات المرتبطة بحساب المستخدم، مثل فتح الروابط، أو التحكم في الأجهزة المنزلية عبر Google Home، أو تشغيل تطبيقات أخرى، مثل Zoom، في سيناريوهات مخبرية محكومة. كما حذر البحث من مخاطر بعيدة المدى تشمل تسميم ذاكرة Gemini طويلة الأمد أو استحداث إجراءات تلقائية متكررة، مع الإشارة إلى أن هذه النتائج نُفذت في بيئة بحثية ولم يرصد استغلالها فعلياً في الواقع.
من جانبها، ذكرت SafeBreach أنها أخطرت برنامج مكافآت الثغرات في Google بهذه النتائج في 17 أغسطس 2025. وفي 14 نوفمبر 2025، أكدت Google إدخال تحسينات على مصنفات المحتوى تهدف إلى الحد من مخاطر حقن الأوامر عبر الإشعارات وسيناريوهات استدعاء الأدوات المؤجل. ولم يتم تخصيص رقم CVE لهذه المسألة.
تسلط هذه الواقعة الضوء على تحد أمني متصاعد في المساعدات الذكية المعتمدة على النماذج اللغوية الكبيرة (LLMs)؛ إذ لم تعد مخاطر حقن الأوامر محصورة في صفحات الويب أو الملفات، بل امتدت لتشمل قنوات التواصل اليومية الموثوقة. وتتضاعف هذه الحساسية في التفاعلات الصوتية، حيث يفتقر المستخدم للرؤية الكاملة للنصوص التي تُعالج في الخلفية وتُبنى عليها قرارات المساعد.
ولتعزيز مستويات الأمان، يمكن للمستخدمين تقييد وصول Gemini للإشعارات أو تعطيل صلاحية (Notification read, reply & control) لتطبيق Google على نظام Android، لاسيما في البيئات التي تتصل فيها الحسابات ذاتها عبر الهواتف والحواسب والأجهزة المنزلية الذكية.
