Útočníci mohli ovládnout asistenta Google Gemini jednou pozvánkou. Oběti pak mohli třeba otevřít okno Hlavní stránka Zprávičky Experti objevili závažnou chybu ve službě Google Gemini Útočníci mohli pomocí jedné pozvánky ovládnout cizího AI asistenta Následně mohli manipulovat s Google Home nebo jinými aplikacemi Sdílejte: Adam Kurfürst Publikováno: 16.8.2025 08:00 Žádné komentáře 0 Pokud jste si kdy mysleli, že k ovládnutí telefonu nebo systému chytré domácnosti někoho jiného potřebujete doktorát z oboru informačních technologií a léta hackerské praxe, pak jste se bohužel šeredně spletli. Jak dokázali výzkumníci Ben Nassi z Univerzity Tel-Aviv, Stav Cohen ze společnosti Technion a Or Yair z firmy SafeBreach, jediné, co v dnešní době stačí, je, aby oběť používala AI asistenta Google Gemini. Když jí pak útočník zašle pozvánku na schůzku nebo na první dobrou nevinně vypadající e-mail, kterých mnozí z nás týdně obdrží desítky až stovky, může se spustit lavina neštěstí. Ke zkáze stačí jedna pozvánka Ve studii s názvem Invitation Is All You Need (v překladu Pozvánka je vše, co potřebujete) je do detailu popsáno několik případů zneužití jevu označeného jako „indirect prompt injection“. Jedná se o techniku, při níž je umělé inteligenci v rámci běžně vypadajícího úkolu předložen také škodlivý příkaz (prompt), který ji donutí vykonat činnost poškozující oběť. Když pomineme ještě do určité míry nezávadné akce, jako je generování vulgárního nebo jinak toxického obsahu či odstraňování událostí z kalendáře, může být AI teoreticky schopná připravit půdu pro závažnou trestnou činnost. Výzkumníci například předvedli, jak pomocí popsané metody otevřeli oběti okno, které je napojeno na systém chytré domácnosti Google Home. Jak přesně útok probíhá? Útok s využitím metody nepřímého vložení promptu vypadá zhruba následovně: Útočník vytvoří a pošle oběti e-mail nebo pozvánku na schůzku (přes Gmail nebo Kalendář Google). V této pozvánce je skrytý prompt, který obsahuje zlomyslné instrukce pro Gemini. Uživatel se později dotáže asistenta Gemini (webová/mobilní aplikace nebo Google Assistant) na své e-maily, události nebo soubory. Gemini při zpracování těchto dat přečte také skrytý škodlivý prompt. Dojde k „nepřímému vložení promptu“, kdy se zlomyslné instrukce stanou součástí operačního kontextu Gemini. Gemini je oklamáno, aby považovalo tyto instrukce za legitimní uživatelské příkazy. Na základě kompromitovaného kontextu provede Gemini škodlivé akce, které mu byly nařízeny v promptu. To může vést k digitálním i fyzickým důsledkům, jako je: Aktivace chytrého domácího spotřebiče (např. bojleru nebo okna). Spuštění videozáznamu oběti přes aplikaci Zoom. Získání geolokace oběti pomocí webového prohlížeče. Odstranění události z kalendáře. Z toho vyplývá, že obětí se nestane ani tak běžný uživatel, který využívá AI zřídkakdy k občasnému řešení problémů ve svém každodenním životě, ale pokročilejší jedinci používající umělou inteligenci jako svého osobního sekretáře. Autoři popsali 5 typů útoku Autoři studie identifikovali patero typů útoků. Možností, jak manipulovat s Gemini, měli tedy útočníci opravdu požehnaně: Short-Term Context Poisoning (Otrava krátkodobého kontextu): Vkládání škodlivých pokynů do sdílených zdrojů (např. názvů událostí), které ovlivní jednu konverzaci s Gemini. Long-Term Memory Poisoning (Otrava dlouhodobé paměti): Trvalá modifikace paměti Gemini, která umožňuje přetrvávající škodlivé aktivity napříč nezávislými relacemi. Tool Misuse (Zneužití nástrojů): Zneužití nástrojů spojených s napadeným agentem (např. agent Kalendáře Google) k provádění škodlivých akcí (např. mazání událostí). Automatic Agent Invocation (Automatické vyvolání agenta): Napadení jednoho agenta (např. Kalendáře) k vyvolání jiného agenta (např. Google Home), což umožňuje eskalaci oprávnění a ovládání chytré domácnosti. Automatic App Invocation (Automatické vyvolání aplikace): Spuštění aplikací (např. Zoom, webový prohlížeč) na zařízení oběti pomocí agenta Gemini, což umožňuje širší spektrum útoků, včetně exfiltrace dat. Tento typ útoku se týká pouze uživatelů Androidu. Google už na situaci reagoval Jelikož se výzkumníci o svá zjištění podělili přímo se společností Google, která umělou inteligenci Gemini vyvíjí, nebezpečí spojeného s výše popsanými úkazy se přímo obávat nemusíte. Kalifornský technologický gigant totiž nasadil řešení, která mají problémy eliminovat nebo alespoň výrazně omezit. Z „vysoké až kritické“ se úroveň rizika měla snížit na „střední až nízkou“. I tak byste nicméně měli být více než obezřetní, kterému AI asistentovi dáváte přístup ke svým datům. Studie totiž předvedla, že i umělá inteligence od jednoho z největších hráčů v technologickém sektoru může mít značné mezery v zabezpečení. Používáte Google Gemini jako svého osobního asistenta? Zdroj: Invitation Is All You Need/Google Sites, Wired O autorovi Adam Kurfürst Adam studuje na gymnáziu a technologické žurnalistice se věnuje od svých 14 let. Pakliže pomineme jeho vášeň pro chytré telefony, tablety a příslušenství, rád se… Více o autorovi Sdílejte: Žádné komentáře Vložit komentář AI Bezpečnostní hrozba chyba Gemini Google Umělá inteligence Mohlo by vás zajímat Android Auto dostane schopnějšího asistenta! Takto (zhruba) vypadá Gemini v akci Adam Kurfürst 9.1. Android Auto dostává první letošní aktualizaci. Co je nového? Adam Kurfürst 10.1. Google Quick Share přináší pro všechny skvělou funkci, kterou už Samsung umí dávno Libor Foltýnek 8.1. Fotky Google dají uživatelům větší kontrolu, chyby AI půjde opravit Libor Foltýnek 10.1. Roztomilý robůtek od Samsungu zamíří do domácností. Malý AI asistent pomůže zahnat nudu i samotu Jana Skálová 9.1. Google se chystá nasadit Gemini na chytré hodinky s Wear OS. Můžeme čekat češtinu? Libor Foltýnek 8.1.