Tag: gemini

Badacze bezpieczeństwa z EclecticIQ alarmują o trwającej kampanii cyberprzestępczej, wycelowanej głównie w programistów szukających instalatorów GeminiCLI oraz Claude Code. Atakujący używają techniki SEO poisoning (zatruwanie wyników wyszukiwania), aby pozycjonować fałszywe domeny nad oficjalnymi witrynami. Strony perfekcyjnie odzwierciedlają autentyczne witryny instalacyjne poszczególnych agentów. Jednak w pakiecie, oprócz instalacji samego agenta, użytkownik…

Badacze z Miggo Security odkryli podatność umożliwiającą ataki typu prompt injection w narzędziach AI od Google. Pozwalała ona uzyskać dostęp do prywatnych wydarzeń z kalendarza oraz tworzyć nowe wpisy bez bezpośredniej interakcji użytkownika. Nie jest to pierwsza luka znaleziona w Gemini. TLDR: Ataki typu prompt injection polegają na wstrzyknięciu instrukcji,…

Badacze z laboratorium Noma Labs wykryli poważną lukę bezpieczeństwa w środowisku Google Gemini Enterprise AI. Wcześniej analogiczna sytuacja występowała w Vertex AI Search. Podatność – znana pod nazwą GeminiJack pozwala atakującemu na uzyskanie nieuprawnionego dostępu do poufnych danych firmy.  TLDR: Wystarczył współdzielony dokument Google, zaproszenie z kalendarza, czy też odpowiednio…

HashJack to odkryta przez badaczy z Cato CTRL technika wstrzykiwania promptów (indirect prompt injection), która ukrywa złośliwe instrukcje po znaku # w adresach URL. Gdy przeglądarki AI przesyłają pełny link (wraz ze złośliwym fragmentem) do swoich asystentów AI, wykonują oni prompty atakujących. Umożliwia to atakującym np. wyświetlenie użytkownikowi fałszywych informacji…

Jeżeli byliście na szkoleniu Narzędziownik AI od Tomka Turby, to wiecie jak relatywnie łatwo jest przeprowadzić atak wstrzyknięcia złośliwego promptu (ang. prompt injection), np. na model LLM – ChatGPT. Jeżeli mamy taką możliwość podczas interakcji z LLM’em 1:1, to czy możemy zrobić to samo, jeżeli AI jest wykorzystywane jako usprawnienie…