O Google se recusou a corrigir uma vulnerabilidade encontrada nas integrações do Gemini e do Google Workspace, segundo um relatório de um pesquisador de segurança. A falha permite que atacantes obtenham informações sensíveis a partir de convites para eventos ou e-mails especialmente projetados para serem lidos pelos grandes modelos de linguagem (LLMs) do Google.
O método de ataque, chamado de ASCII Smuggling, utiliza caracteres especiais do bloco Tags Unicode para introduzir cargas invisíveis aos olhos humanos, mas legíveis para inteligências artificiais. Essa técnica é mais uma variação de ataques que se tornaram cada vez mais frequentes após a popularização das integrações entre chatbots e ferramentas pessoais — como e-mails, agendas e serviços de nuvem — alimentadas por IA generativa.
Nem todo chatbot é vulnerável ao ASCII Smuggling
O pesquisador Viktor Markopoulos, da FireTail e autor da descoberta, testou seu método contra diferentes chatbots conectados a serviços de uso pessoal. O resultado revelou quais sistemas ainda estão vulneráveis.
Chatbots vulneráveis
- Gemini: integrações com o Calendário e o Google Agenda ampliam a superfície de ataque.
- DeepSeek: suscetível a prompts maliciosos.
- Grok: vulnerável a publicações manipuladas no X (antigo Twitter).
Chatbots resistentes
- ChatGPT
- Microsoft Copilot
- Claude
Segundo Markopoulos, a resistência observada nos chatbots ChatGPT, Microsoft Copilot e Claude pode estar ligada à presença de mecanismos de “sanitização” de comandos. Nesses casos, antes de ler qualquer conteúdo, a IA realiza uma limpeza no texto para eliminar instruções ocultas ou suspeitas.
Gemini é o mais vulnerável
Entre os chatbots analisados, o Gemini apresentou a maior superfície vulnerável a ataques. Isso ocorre porque ele está profundamente integrado aos serviços do Google Workspace, o que amplia as oportunidades de injeção de comandos invisíveis.
Na demonstração, Markopoulos conseguiu inserir comandos ocultos dentro do título de um convite para uma reunião online. Com isso, foi possível sobrepor detalhes do organizador do evento e ocultar descrições e links do convite original. O pesquisador destacou ainda que o mesmo método pode ser aplicado em e-mails, com mensagens aparentemente inofensivas capazes de induzir o chatbot a vazar informações sensíveis do usuário.
Google não vai resolver o problema
O pesquisador relatou a vulnerabilidade ao Google em 18 de setembro de 2025. Em resposta, a empresa confirmou o recebimento, mas afirmou que não pretende corrigir a falha. De acordo com o Google, o ataque dependeria de engenharia social — e, portanto, não seria viável implementar uma correção eficaz.
Com a brecha agora tornada pública, especialistas alertam que a responsabilidade passa a ser dos administradores de contas corporativas, que deverão adotar ferramentas de sanitização para mitigar possíveis ataques e evitar a exposição de dados sensíveis.
Quer ficar por dentro das principais notícias sobre segurança digital e inteligência artificial? Acompanhe o TecMundo para não perder nenhuma atualização sobre o universo da tecnologia.
