Uma falha de segurança no Google Gemini permitiu que dados privados do Google Calendar fossem extraídos por meio de uma técnica conhecida como prompt injection indireto. A vulnerabilidade explorava a forma como a inteligência artificial interpreta linguagem natural, contornando mecanismos de autorização e privacidade.
O caso levanta alertas importantes sobre os riscos do uso de IA generativa em ambientes corporativos e a necessidade de tratá-la como um ativo crítico de segurança.
Como a vulnerabilidade foi descoberta
A falha foi identificada pela empresa Miggo Security e detalhada por seu chefe de pesquisa, Liad Eliyahu. Segundo o relatório, atacantes conseguiam inserir um payload malicioso “adormecido” dentro da descrição de um convite legítimo do Google Calendar.
Esse conteúdo parecia inofensivo para o usuário, mas era interpretado posteriormente pelo Gemini como uma instrução válida, ativando o comportamento malicioso.
Como funcionava o ataque
O ataque seguia um fluxo simples, porém eficaz:
- O hacker enviava um convite de reunião com uma descrição manipulada.
- O texto incluía comandos em linguagem natural direcionados ao Gemini.
- O gatilho ocorria quando a vítima fazia uma pergunta comum, como:
“Tenho alguma reunião na terça-feira?” - O Gemini processava o prompt oculto.
- Um novo evento era criado no Google Calendar com um resumo completo das reuniões privadas do usuário.
Segundo a Miggo Security:
“Nos bastidores, o Gemini criava um novo evento e escrevia um resumo detalhado das reuniões privadas da vítima na descrição.”
Em ambientes corporativos, esse novo evento podia ficar visível ao atacante, permitindo a exfiltração de dados sensíveis sem interação direta da vítima.
O impacto para a segurança corporativa
Apesar de o Google ter corrigido a falha após a divulgação responsável, o caso mostra como funcionalidades baseadas em IA ampliam a superfície de ataque.
Diferente de vulnerabilidades tradicionais, essa falha:
- Não estava no código
- Explorava contexto, linguagem e comportamento da IA
- Acontecia em tempo de execução
Isso torna a detecção e prevenção muito mais complexas.
IA ainda precisa de supervisão humana
Especialistas alertam que, apesar dos avanços, agentes de IA não devem ser considerados totalmente confiáveis para projetar aplicações seguras sem supervisão rigorosa.
Em ambientes corporativos, as principais recomendações incluem:
- Reforçar auditorias de identidade
- Revisar permissões de acesso
- Monitorar integrações com IA
- Tratar sistemas de IA como ativos críticos de segurança
