Los investigadores de ciberseguridad han detallado una falla de seguridad que aprovecha la inyección indirecta dirigida a Google Gemini como una forma de eludir las barreras de autorización y utilizar Google Calendar como mecanismo de extracción de datos.
Según Liad Eliyahu, jefe de investigación de Miggo Security, la vulnerabilidad permitió a un atacante eludir los controles de privacidad de Google Calendar ocultando una carga maliciosa inactiva dentro de una invitación de calendario estándar.
«Esta omisión permitió el acceso no autorizado a datos de reuniones privadas y la creación de eventos de calendario fraudulentos sin interacción directa del usuario», dijo Eliyahu en un informe compartido con Hacker News.
El punto de partida de la cadena de ataque es un nuevo evento de calendario creado por el actor de la amenaza y enviado al objetivo. La descripción de la invitación incorpora mensajes en lenguaje natural diseñados para impulsar su oferta, lo que resulta en una inyección rápida.
El ataque se activa cuando un usuario le hace a Gemini una pregunta completamente inocua sobre su agenda (por ejemplo, ¿tiene una reunión el martes?), y el chatbot de inteligencia artificial (IA) analiza el mensaje especialmente diseñado en la descripción del evento antes mencionada para resumir todas las reuniones del usuario para un día determinado, agrega estos datos a un evento de Google Calendar recién creado y devuelve una respuesta inocua al usuario.
«Pero detrás de escena, Gemini creó un nuevo evento de calendario y escribió una sinopsis completa de la reunión privada del usuario objetivo en la descripción del evento», dijo Migo. «Muchas configuraciones de calendario empresarial hacen que los nuevos eventos sean visibles para los atacantes, lo que les permite leer datos personales expuestos sin que los usuarios objetivo requieran ninguna acción».
Si bien el problema se resolvió luego de una divulgación responsable, los hallazgos demuestran una vez más que a medida que más organizaciones utilizan herramientas de inteligencia artificial o crean sus propios agentes internamente para automatizar los flujos de trabajo, las capacidades nativas de la inteligencia artificial pueden expandir las superficies de ataque e introducir inadvertidamente nuevos riesgos de seguridad.
«Las aplicaciones de IA pueden manipularse a través del mismo lenguaje para el que fueron diseñadas», señala Eliyahu. «Las vulnerabilidades ya no se limitan al código; ahora afectan el lenguaje, el contexto y el comportamiento de la IA en tiempo de ejecución».
La divulgación se produce días después de que Varonis detallara un ataque llamado Reprompt que podría permitir a los atacantes filtrar datos confidenciales de chatbots de inteligencia artificial (IA) como Microsoft Copilot con un solo clic, evitando al mismo tiempo los controles de seguridad corporativos.
Los hallazgos demuestran la necesidad de evaluar constantemente modelos de lenguaje a gran escala (LLM) en aspectos clave de seguridad, probando la propensión alucinatoria, la precisión de los hechos, el sesgo, el daño y la resistencia al jailbreak, al mismo tiempo que se protegen los sistemas de inteligencia artificial de los problemas tradicionales.
La semana pasada, XM Cyber de Schwarz Group reveló nuevas formas de escalar privilegios dentro de Agent Engine y Ray de Google Cloud Vertex AI, destacando la necesidad de que las empresas auditen todas las cuentas de servicio o identidades asociadas con las cargas de trabajo de AI.
«Estas vulnerabilidades permiten a un atacante con privilegios mínimos secuestrar agentes de servicio con privilegios elevados, convirtiendo efectivamente estas identidades administrativas ‘invisibles’ en ‘agentes dobles’ que facilitan la escalada de privilegios», dijeron los investigadores Eli Shparaga y Erez Hasson.
La explotación exitosa de la falla del agente dual podría permitir a un atacante leer todas las sesiones de chat, leer la memoria LLM, leer información potencialmente confidencial almacenada en depósitos de almacenamiento y obtener acceso raíz a un clúster de Ray. Google dice que el servicio actualmente «funciona según lo previsto», por lo que es importante que las organizaciones verifiquen la identidad de los roles de los espectadores y se aseguren de que existan controles adecuados para evitar la inyección de código no autorizado.
Este desarrollo coincide con el descubrimiento de múltiples vulnerabilidades y debilidades en varios sistemas de IA.
The Librarian, una herramienta de asistente personal impulsada por IA de TheLibrarian.io, contiene fallas de seguridad (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 y CVE-2026-0616) que podrían permitir a un atacante acceder a la infraestructura interna, como la consola del administrador y los entornos de nube, y, en última instancia, se puede filtrar información confidencial, como metadatos, y se pueden ejecutar procesos. internamente. El backend y el sistema solicitan o inician sesión en los sistemas backend internos. Una vulnerabilidad que demuestra cómo extraer indicaciones del sistema de un asistente LLM basado en intenciones solicitando que un campo de formulario muestre información en formato codificado Base64. «Si un LLM puede realizar acciones que escriben en campos, registros, entradas de bases de datos o archivos, cada uno se convierte en un canal potencial de exfiltración, independientemente de cuán bloqueada esté la interfaz de chat», dijo Praetorian. Un ataque que demuestra cómo un complemento malicioso subido al mercado de Anthropic Claude Code puede usarse para eludir las protecciones involucradas por humanos a través de ganchos y robar los archivos de un usuario mediante una inyección indirecta. Una vulnerabilidad crítica en Cursor (CVE-2026-22708) permite la ejecución remota de código mediante inyección indirecta al explotar un descuido fundamental en la forma en que el IDE del agente maneja los comandos integrados del shell. «Al explotar características integradas implícitamente confiables del shell, como exportaciones, composición tipográfica y declaraciones, un atacante podría manipular implícitamente variables de entorno y posteriormente interrumpir el funcionamiento de herramientas de desarrollo legítimas», dijo Pillar Security. «Esta cadena de ataque transforma un comando benigno aprobado por el usuario (como git branch o python3 script.py) en un vector de ejecución de código arbitrario».
Análisis de seguridad de cinco IDE de codificación de Vibe. Los agentes de codificación descubiertos por Cursor, Claude Code, OpenAI Codex, Replit y Devin son buenos para evitar la inyección de SQL y las fallas XSS, pero tienen dificultades cuando se trata de manejar problemas de SSRF, lógica de negocios y hacer cumplir la autorización adecuada al acceder a las API. Para empeorar las cosas, ninguna de las herramientas incluía protección CSRF, encabezados de seguridad o límites de tasa de inicio de sesión.
Esta prueba destaca las limitaciones actuales de la vibecodificación y muestra que la supervisión humana sigue siendo clave para abordar estas brechas.
Ori David de Tenzai dice: «No se puede confiar en un agente de codificación para diseñar una aplicación segura». Los agentes pueden generar código seguro (en algunos casos), pero sin una guía explícita no logran implementar controles de seguridad importantes. Si los límites no están claros, como los flujos de trabajo de la lógica empresarial, las reglas de aprobación u otras decisiones de seguridad sensibles, los agentes cometerán errores. «
Source link
