Una nuova minaccia per la sicurezza aziendale riguarda Google Gemini Enterprise, un assistente AI integrato con Gmail, Calendar e Docs. La vulnerabilità chiamata Geminijack consente a un attaccante di rubare dati riservati senza che nessun dipendente debba cliccare o fare azioni sospette. Il problema nasce dal modo in cui l’AI elabora i contenuti condivisi all’interno dell’azienda, permettendo di aggirare i normali sistemi di sicurezza.
In pratica, un aggressore può condividere un documento, un evento di calendario o un’email apparentemente innocua contenente istruzioni nascoste. Quando un dipendente effettua una ricerca normale, come ad esempio “mostra i documenti di vendita”, l’AI recupera e interpreta queste istruzioni malevole, estraendo dati sensibili come email, calendari e documenti.
Questi dati vengono poi inviati all’attaccante attraverso una richiesta invisibile sotto forma di immagine caricata durante la risposta dell’AI, senza generare alcun allarme di sicurezza.
Cosa fare subito:
– Verificare e limitare a quali dati l’AI ha accesso in Google Workspace
– Controllare documenti, email e inviti sospetti condivisi internamente
– Disabilitare il caricamento automatico di immagini esterne nelle risposte AI
– Aggiornare le credenziali e chiavi API eventualmente esposte
—
Approfondimento tecnico
La vulnerabilità Geminijack sfrutta un difetto architetturale nel sistema Retrieval-Augmented Generation (RAG) usato da Gemini Enterprise. Questo sistema indicizza automaticamente email, eventi di calendario e documenti per rispondere alle query AI. L’attacco avviene tramite “prompt injection” indiretta: contenuti controllati dall’attaccante contengono comandi nascosti che il modello AI interpreta come legittimi.
Quando un dipendente fa una ricerca, l’AI integra questi comandi nel processo, estrae informazioni riservate e le inserisce in un tag HTML immagine che punta a un server esterno controllato dall’attaccante. Questa tecnica bypassa sistemi di prevenzione delle perdite di dati (DLP) e strumenti di sicurezza endpoint perché non si tratta di malware o phishing tradizionali.
Google ha risposto separando Vertex AI Search da Gemini Enterprise e migliorando i controlli sull’elaborazione delle istruzioni all’interno del RAG. Tuttavia, la vicenda mette in luce i rischi emergenti legati all’integrazione dell’AI con dati sensibili, sottolineando l’importanza di monitorare attentamente le pipeline di dati e di implementare limiti rigorosi sugli accessi.
Le organizzazioni devono considerare questo episodio come un campanello d’allarme e adottare strategie per ridefinire i confini di fiducia dell’AI, prevenire input contaminati e proteggere i propri asset digitali in ambienti collaborativi basati su AI.
