Especialistas alertam sobre um ataque que engana o Gemini e faz com que ele vaze dados do usuário: "Eles são enviados para o e-mail de outra pessoa sem confirmação".

Um ataque de segurança cibernética é capaz de roubar dados pessoais dos usuários ocultando uma injeção invisível de prompt multimodal em imagens. Quando o usuário as carrega em sistemas como o Gemini CLI, a inteligência artificial (IA) executa os prompts e extrai os dados da vítima. O dimensionamento de imagens foi descoberto como uma "arma" contra sistemas de IA de produção, como o Gemini CLI, o Vertex AI Studio, a API Gemini, o Google Assistant e o Genspark, entre outros.

Ao enviar uma imagem aparentemente inofensiva para um modelo de linguagem, ele consegue roubar dados privados, conforme relatado em uma publicação da equipe do The Trail of Bits. Isso acontece porque a imagem oculta prompts multimodais invisíveis para o usuário. No entanto, a inteligência artificial é capaz de executar esses prompts e extrair deles os dados da vítima.

Esse processo funciona por meio do dimensionamento de imagens, um processo executado automaticamente antes da IA ​​analisar o arquivo. Portanto, quando você anexa uma imagem ao Gemini (seja em seu agente de código aberto, na web ou via API), o modelo não acessa a imagem original, mas sim uma versão dimensionada.

Dessa forma, quando os algoritmos de dimensionamento são executados na imagem, o prompt malicioso é descoberto e executado pelo Gemini , acionando ferramentas como o Zapier, uma plataforma de automação online que conecta aplicativos e serviços sem a necessidade de programação.

Usando esse método, os pesquisadores do The Trail of Bits conseguiram extrair dados do usuário armazenados no Google Agenda e enviá-los para um endereço de e-mail diferente do da vítima sem confirmação, conforme detalhado em seu relatório.

Eles também alertaram que este é um dos muitos ataques de injeção rápida que já foram demonstrados em ferramentas de codificação de agentes (como Claude Code e OpenAI Codex), e que eles conseguiram exfiltrar dados e executar código remotamente explorando ações inseguras contidas em sandboxes, entre outros casos.