חוקרי חברת Miggo Security - חברה שהוקמה ב-2023 ע"י דניאל שחטר ואיתי גולדמן בוגרי 8200 - חשפו בשבוע שעבר פגיעות חמורה במערכת הבינה המלאכותית Google Gemini, שאפשרה להאקרים לחשוף מידע פרטי ממשתמשי Google Calendar. הפירצה, שתוקנה מאז על ידי גוגל, ניצלה שילוב מתוחכם בין הנחיות שפה טבעית לבין פרשנות אוטומטית של הנתונים ביומן.
לדברי ראש תחום המחקר של Miggo, ליעד אליהו, ההתקפה “לא דרשה כל פעולה אקטיבית מהמשתמש מעבר לשאלה תמימה כמו ‘האם אני פנוי ביום שבת?’”. כל שנדרש היה שהקורבן יקבל הזמנה ליומן - שבתוכה הוטמעו הנחיות סמויות שנועדו לגרום ל‑Gemini לחשוף את תוכן הפגישות הפרטיות וליצור אירוע חדש ביומן, הכולל סיכום מלא שלהן. באירועים ארגוניים רבים, אותם אירועים הופיעו כברירת מחדל אצל השולח - כלומר אצל התוקף.
המתקפה, המכונה "Indirect Prompt Injection", פועלת בשלושה שלבים פשוטים: תחילה נשלחת הזמנה תמימה הכוללת פקודות מוסתרות בשפה טבעית. לאחר מכן, כאשר המשתמש פונה ל‑Gemini בשאלה יומיומית על לוח הזמנים שלו, המערכת מעבדת את ההזמנה ומבצעת את ההוראות. לבסוף נוצר אירוע יומן חדש הכולל את המידע שנשלף – מבלי שהמשתמש שם לב למתרחש מאחורי הקלעים.
בגוגל אישרו את קיומה של הבעיה והטמיעו תיקון מיד לאחר קבלת הדיווח. עם זאת, המומחים מדגישים כי המקרה ממחיש עד כמה מסוכן השימוש במערכות AI המחוברות לשירותי מידע אישיים. גם בתוך גוגל הופעל מנגנון נוסף שזיהה באופן יזום פקודות זדוניות, אך במקרה זה – ההתקפה הצליחה לעקוף אותו.
פרצות דומות נחשפו גם בעבר: בדצמבר 2025, לדוגמה, דיווחה חברת Noma Security על פגיעות בשם “GeminiJack”, שהשתמשה בשיטה דומה כדי לגשת לקבצי Google Docs ולמיילים ארגוניים. שתי התקריות, אומרים מומחים, מדגישות את השינוי בפרדיגמת האבטחה המסורתית.
“הפגיעות כבר לא חיות רק בקוד,” אומר אליהו. “הן מתקיימות בשפה, בהקשר, ובהתנהגות של מערכות AI בזמן אמת.” ארגון OWASP כבר דירג את “prompt injection” כגורם הסיכון הבכיר ביותר ברשימת איומי הבינה המלאכותית לשנת 2025 - אזהרה ברורה לעתיד שבו גבולות בין שפה, נתונים ואבטחה מיטשטשים לחלוטין.
0 תגובות