افشا کردن نقص‌های هوش مصنوعی گوگل Gemini که امکان تزریق سریع و بهره‌برداری‌های ابری را فراهم می‌کنند توسط محققان

محققان امنیت سایبری سه آسیب‌پذیری امنیتی که اکنون وصله شده‌اند و دستیار هوش مصنوعی گوگل (Gemini) را تحت تأثیر قرار می‌دهند، افشا کرده‌اند که در صورت بهره‌برداری موفقیت‌آمیز، می‌توانستند کاربران را در معرض خطرات عمده حریم خصوصی و سرقت داده‌ها قرار دهند.

لیو ماتان، محقق امنیتی Tenable، در گزارشی که با The Hacker News به اشتراک گذاشته است، گفت[۱]: «آنها Gemini را در برابر حملات تزریق جستجو به مدل شخصی‌سازی جستجوی آن؛ حملات تزریق log-to-prompt علیه Gemini Cloud Assist؛ و استخراج اطلاعات ذخیره شده کاربر و داده‌های مکانی از طریق ابزار مرور Gemini آسیب‌پذیر کردند.»

این آسیب‌پذیری‌ها توسط شرکت امنیت سایبری به طور کلی با نام رمز Gemini Trifecta شناخته می‌شوند. آن‌ها در سه جزء مجزا از مجموعه Gemini قرار دارند.

• یک نقص تزریق سریع در Gemini Cloud Assist[2] که می‌تواند به مهاجمان اجازه دهد تا از سرویس‌های مبتنی بر ابر بهره‌برداری کرده و منابع ابری را با سوءاستفاده از این واقعیت که این ابزار قادر به خلاصه کردن لاگ‌های استخراج شده مستقیماً از لاگ‌های خام است، به خطر بیندازند و به عامل تهدید این امکان را می‌دهد که یک اعلان را در هدر User-Agent به عنوان بخشی از درخواست HTTP به یک Cloud Function و سایر سرویس‌ها مانند Cloud Run، App Engine، Compute Engine، Cloud Endpoints، Cloud Asset API، Cloud Monitoring API و Recommender API پنهان کند.
• یک نقص تزریق جستجو در مدل شخصی‌سازی جستجوی Gemini[3] که می‌تواند به مهاجمان اجازه دهد اعلان‌ها را تزریق کرده و رفتار ربات چت هوش مصنوعی را کنترل کنند تا اطلاعات ذخیره شده و داده‌های مکانی کاربر را با دستکاری تاریخچه جستجوی کروم آنها با استفاده از جاوا اسکریپت و سوءاستفاده از ناتوانی[۴] مدل در تمایز بین پرس‌وجوهای مشروع کاربر و اعلان‌های تزریق شده از منابع خارجی، نشت دهند.
• یک نقص تزریق غیرمستقیم اعلان در ابزار مرور Gemini که می‌تواند به مهاجمان اجازه دهد اطلاعات ذخیره شده و داده‌های مکانی کاربر را با سوءاستفاده از فراخوانی داخلی که Gemini انجام می‌دهد، به یک سرور خارجی منتقل کنند. خلاصه محتوای یک صفحه وب

Tenable گفت که این آسیب‌پذیری‌ها می‌توانستند برای جاسازی داده‌های خصوصی کاربر در داخل یک درخواست به یک سرور مخرب که توسط مهاجم کنترل می‌شود، بدون نیاز به رندر لینک‌ها یا تصاویر توسط جمینی، مورد سوءاستفاده قرار گیرند.

ماتان در مورد نقص Cloud Assist گفت: “یک سناریوی حمله تأثیرگذار، مهاجمی است که یک پیام فوری را تزریق می‌کند که به جمینی دستور می‌دهد تمام دارایی‌های عمومی را جستجو کند یا برای پیکربندی‌های نادرست IAM جستجو کند و سپس یک لینک ایجاد می‌کند که حاوی این داده‌های حساس است. این باید امکان‌پذیر باشد زیرا جمینی اجازه دارد از طریق API دارایی‌های ابری، دارایی‌ها را جستجو کند.”

در مورد حمله دوم، عامل تهدید ابتدا باید کاربر را متقاعد کند که از وب‌سایتی که برای تزریق درخواست‌های جستجوی مخرب حاوی تزریق‌های فوری به سابقه مرور قربانی و مسموم کردن آن تنظیم کرده است، بازدید کند. بنابراین، هنگامی که قربانی بعداً با مدل شخصی‌سازی جستجوی جمینی تعامل می‌کند، دستورالعمل‌های مهاجم برای سرقت داده‌های حساس پردازش می‌شوند.

پس از افشای مسئولانه، گوگل از آن زمان رندر کردن هایپرلینک‌ها در پاسخ‌ها را برای همه پاسخ‌های خلاصه‌سازی لاگ متوقف کرده و اقدامات سخت‌گیرانه‌تری را برای محافظت در برابر تزریق‌های سریع اضافه کرده است.

متان گفت: “Gemini Trifecta نشان می‌دهد که خود هوش مصنوعی می‌تواند به وسیله حمله تبدیل شود، نه فقط به هدف. همانطور که سازمان‌ها هوش مصنوعی را به کار می‌گیرند، نمی‌توانند امنیت را نادیده بگیرند. محافظت از ابزارهای هوش مصنوعی نیاز به دید نسبت به محل حضور آنها در محیط و اجرای دقیق سیاست‌ها برای حفظ کنترل دارد.”

این توسعه در حالی رخ می‌دهد که پلتفرم امنیتی Agentic CodeIntegrity حمله جدیدی را شرح داده است که از عامل هوش مصنوعی Notion برای استخراج داده‌ها سوءاستفاده می‌کند و دستورالعمل‌های سریع را در یک فایل PDF با استفاده از متن سفید روی پس‌زمینه سفید پنهان می‌کند که به مدل دستور می‌دهد داده‌های محرمانه را جمع‌آوری کرده و سپس آن را برای مهاجمان ارسال کند.

این شرکت گفت[۵]: “یک عامل با دسترسی گسترده به فضای کاری می‌تواند وظایف را در اسناد، پایگاه‌های داده و کانکتورهای خارجی به روش‌هایی که RBAC هرگز پیش‌بینی نکرده بود، زنجیره‌بندی کند. این امر یک سطح تهدید بسیار گسترده ایجاد می‌کند که در آن داده‌ها یا اقدامات حساس می‌توانند از طریق گردش‌های کاری چند مرحله‌ای و خودکار استخراج یا مورد سوءاستفاده قرار گیرند.”

  منابع

[۱] https://www.tenable.com/blog/the-trifecta-how-three-new-gemini-vulnerabilities-in-cloud-assist-search-model-and-browsing

[۲] https://cloud.google.com/products/gemini/cloud-assist?hl=en

[۳] https://blog.google/products/gemini/gemini-personalization

[۴] https://simonwillison.net/2025/Jun/16/the-lethal-trifecta

[۵] https://www.codeintegrity.ai/blog/notion

[۶] https://thehackernews.com/2025/09/researchers-disclose-google-gemini-ai.html