Google закрыла zero-click-уязвимость в ассистенте Gemini Enterprise

Она позволяла красть корпоративные данные через ИИ-ассистента

Компания Google закрыла уязвимость zero-click-уязвимость в корпоративном ассистенте Gemini Enterprise. Через неё злоумышленники могли похищать данные компании. Баг нашли специалисты из Noma Security еще в июне 2025 года и сразу сообщили об этом Google. Исследователи назвали уязвимость GeminiJack.

GeminiJack представляет собой архитектурную уязвимость в Google Gemini Enterprise. Речь о наборе корпоративных AI-инструментов от Google. Брешь также затронула и Vertex AI Search — это платформа Google Cloud для создания поисковиков и рекомендательных систем на базе искусственного интеллекта.

Найденная уязвимость даёт возможност провести атаку непрямой инъекции промптов. Злоумышленники могут добавить вредоносные инструкции, например, в файлы в Gmail, Google Calendar, Google Docs и других компонентах Google Workspace. К этим сервисам имеет доступ и Gemini Enterprise. После добавления таких вредоносных документов злоумышленник может похитить конфиденциальную корпоративную информацию.

Атака предполагает несколько этапов. Сначала злоумышленник создаёт якобы безобидный документ Google Docs, событие в Calendar или письмо в Gmail. В документ встраиваются скрытые инструкции для Gemini Enterprise. Инструкции указывают ИИ искать определённые конфиденциальные термины и встраивать результаты в URL внешней картинки. Этот URL контролирует злоумышленник. Когда сотрудник атакованной компании выполняет поиск, ИИ обрабатывает заражённый контент. Система Gemini ошибочно считает инструкции валидными. После этого система сканирует авторизованные данные Workspace на наличие конфиденциальных терминов. На последнем этапе происходит вывод данных, и Gemini Enterprise включает вредоносный тег картинки в свой ответ. При загрузке браузер пользователя отправляет украденные данные на сервер злоумышленника через обычный HTTP-запрос. Традиционные проверки безопасности эту уязвимость не находят.

Эксперты по кибербезопасности отметили, что атака становится возможной из-за особенностей работы поисковой функции Gemini Enterprise. Система использует архитектуру Retrieval-Augmented Generation и позволяет организациям делать запросы к нескольким источникам данных в Google Workspace.

Отчёт о GeminiJack вышел 8 декабря 2025 года. Google уже выпустила апдейты, которые изменили способ взаимодействия Gemini Enterprise и Vertex AI Search с базовыми системами поиска и индексации. После обнаружения бага Vertex AI Search полностью отделили от Gemini Enterprise. В обновлении платформа не использует те же рабочие процессы на основе больших языковых моделей и возможности Retrieval-Augmented Generation.

Исследователи Noma Security считают, что эта атака не станет последней в своём роде. Специалисты заявили, что традиционные средства защиты периметра и инструменты предотвращения утечек данных не были разработаны для обнаружения ситуаций, когда ИИ становится инструментом вывода информации.