Хакеры могут захватить Google Gemini через уведомления WhatsApp и Slack

Механика вектора атаки через инъекцию промптов

Исследователи безопасности выявили новый вектор атаки, позволяющий злоумышленникам перехватывать управление ИИ-ассистентом Google Gemini через сфабрикованные уведомления в мессенджерах. Уязвимость базируется на технике prompt injection — манипуляции с промптами, при которой спрятанные инструкции, написанные на иностранных языках, внедряются в содержание уведомлений Android. Проще говоря, ИИ воспринимает скрытый текст как команду к исполнению, даже если визуально уведомление выглядит безобидно.Схема работы выглядит следующим образом: вредоносный код «зашивается» непосредственно в текст уведомления. В момент, когда пользователь взаимодействует с сообщением, Gemini считывает его содержимое и активирует скрытую команду. Если коротко, нейросети отдается приказ действовать от лица владельца устройства, полностью игнорируя ее стандартные алгоритмы поведения.

Риски при эксплуатации доверия к приложениям

Эксперты отмечают высокий уровень опасности данного метода из-за эксплуатации пользовательского доверия к привычным инструментам. Взаимодействие с уведомлениями из мессенджеров вроде WhatsApp или Slack происходит на автоматизме, что значительно повышает шансы успешного внедрения вредоносного запроса — пользователь попросту не ожидает подвоха от знакомого интерфейса.Уязвимость не локализована в конкретном приложении, так как касается архитектуры обработки уведомлений в ОС Android в целом. Вектор атаки применим к любому программному обеспечению, транслирующему оповещения в систему: от почтовых клиентов до социальных сетей. На практике это значит, что абсолютно любой легитимный канал связи может стать «троянским конем» для передачи команд нейросети.

Меры защиты и рекомендации

На текущем этапе основным способом снижения рисков остается критическое отношение к любым уведомлениям, содержащим ссылки или прямые запросы на выполнение каких-либо действий. Поддержание актуальных версий системного ПО, а также использование специализированных инструментов мониторинга подозрительной активности — необходимый минимум, который может существенно усложнить эксплуатацию подобных уязвимостей.Данное открытие акцентирует внимание на проблеме безопасности ИИ-систем в условиях их глубокой интеграции в пользовательскую среду. Необходимость создания надежных барьеров против инъекций промптов становится критической задачей по мере роста автономности таких помощников, как Google Gemini.*Компания Meta признана экстремистской организацией и запрещена в РФ