Basta um convite para um evento no Gmail para comprometer uma casa inteligente gerenciada pelo Google Gemini. Pesquisadores da Universidade de Tel-Aviv descobriram um método de prompt injection que explora fragilidades no ecossistema do Google para assumir o controle de dispositivos interconectados da residência, do assistente virtual Gemini e até do celular da vítima.
Ter dispositivos inteligentes em casa oferece praticidade ao dia a dia. Luzes, cortinas, tomadas, interruptores e eletrodomésticos modernos podem ser gerenciados por hubs como o Google Home. Contudo, ao estender esse controle para o ambiente digital, amplia-se também a superfície vulnerável a ataques cibernéticos — e foi isso que os pesquisadores Ben Nassi, Stav Cohen e Or Yair mostraram no estudo “Invitation Is All You Need! Tara for Targeted Promptware Attack Against Gemini-Powered Assistant”.
Como funciona o ataque
No artigo, os especialistas explicam como a técnica de prompt injection permite interferir no funcionamento do Gemini e acessar funcionalidades da casa inteligente com um simples convite enviado pelo Gmail ou pelo Google Agenda.
O ataque segue os seguintes passos:
- O atacante envia um convite ou e-mail malicioso com comandos ocultos;
- O usuário pede ao Gemini para resumir a caixa de entrada ou o calendário;
- O assistente lê os comandos escondidos e altera seu comportamento;
- O Gemini passa a agir conforme os interesses do invasor, sem que o usuário perceba.
Esse tipo de ataque explora a capacidade da IA de interpretar contexto e manter memória, o que permite influenciar diretamente na forma como o chatbot responde e interage com o ambiente digital e físico do usuário.
O que é prompt injection?
Prompt injection é uma técnica usada para manipular inteligências artificiais generativas. Ela consiste em inserir instruções maliciosas dentro de textos aparentemente comuns. Se o sistema não estiver adequadamente protegido, pode acabar seguindo essas ordens sem perceber a manipulação.
As consequências variam entre respostas incorretas, vazamento de dados e até mudança completa no comportamento da IA — tudo isso sem alertar o usuário de que está sob ataque.
Consequências do ataque via Gemini
Segundo o estudo, as ações que podem ser realizadas com esse tipo de ataque incluem:
- Geração de conteúdo tóxico ou ofensivo;
- Envio de spam;
- Criação e exclusão de eventos da agenda;
- Controle total de dispositivos da casa (luzes, cortinas, tomadas etc.);
- Início de chamadas de vídeo via Zoom;
- Extração de informações sensíveis armazenadas no e-mail;
- Rastreamento da localização da vítima em tempo real pelo navegador.
De acordo com a análise de risco TARA incluída no paper, 73% das ameaças identificadas são consideradas altamente críticas para usuários finais.
Quanto mais recursos, mais vulnerabilidades
O estudo ressalta que, quanto mais permissões o Gemini possui, maior o potencial de exploração. O chatbot pode abrir apps, enviar mensagens via WhatsApp ou SMS e realizar ações automatizadas — o que poderia ser usado, por exemplo, para aplicar golpes financeiros com mensagens a contatos próximos.
Google reconhece a falha
O Google foi comunicado sobre a vulnerabilidade e reconheceu o problema descrito pelos pesquisadores. A empresa afirmou que trabalha em soluções para mitigar os riscos, incluindo melhorias na confirmação de ações sensíveis, tratamento de URLs e mecanismos mais robustos de detecção de comandos ocultos.
O paper completo está disponível publicamente. Na página oficial do estudo, há uma descrição mais direta sobre as descobertas.
Quer ficar por dentro das últimas descobertas sobre segurança digital e inteligência artificial? Siga o TecMundo nas redes sociais e acompanhe nossas atualizações diárias sobre tecnologia, privacidade e o futuro da automação.
