Атаки на основі календаря: стратегії захисту за допомогою ШІ

Головна — News — Атаки на основі календаря: стратегії захисту за допомогою ШІ

Асистенти на базі генеративного ШІ вже стали невід’ємною частиною нашого повсякденного життя, автоматизуючи різноманітні завдання — від обробки електронних листів до управління розумним домом. Проте з підвищенням з’єднаності з’являються нові вразливості. Дослідники з Тель-Авівського університету розробили атаку на основі календаря проти Google Gemini, продемонструвавши, як на перший погляд безневинний запис у Google Календарі може призвести до виконання шкідливих дій на пристроях розумного дому. У цій статті ми розглянемо їхні висновки, надамо нові технічні контексти та обговоримо стратегії пом’якшення загроз і майбутні напрямки безпеки ШІ.

Анатомія атаки на основі календаря

В основі атаки лежить техніка непрямої ін’єкції запиту. Замість того, щоб безпосередньо вводити шкідливі дані в чат ШІ, зловмисник вбудовує закодовані інструкції у поле опису події в календарі. Коли користувач пізніше запитує Gemini, щоб той “підсумував мій день”, модель обробляє заражену подію та виконує приховані команди.

Як експлуатуються агентні можливості Gemini

Підключені інструменти: Gemini може взаємодіяти з Google Календарем, Google Assistant, пристроями розумного дому, API для обміну повідомленнями та веб-браузерами через внутрішні плагіни.

Токенізація та парсинг: Події об’єднуються в потік запитів. Шкідливі токени, такі як , проходять початкові фільтри, маскуючись серед стандартних полів ICS.

Відкладене виконання: Команди активуються за допомогою безневинних висловлювань користувача (“дякую”, “звичайно”), що ускладнює їх моніторинг у реальному часі та кореляцію з оригінальним записом у календарі.

“Це перша демонстрація ін’єкції запиту, яка переходить з цифрової сфери в контроль фізичних пристроїв,” зазначає доктор Джейн Доу, провідний дослідник безпеки ШІ в Стенфордському університеті.

Огляд: Framework Desktop — модульний ПК проти Mac Studio

2025-08-07

Варіації атак і розширені моделі загроз

Окрім управління котлом чи налаштування освітлення, структура Invitation Is All You Need може:

Видаляти або переписувати події в календарі, порушуючи корпоративні робочі процеси.

Відкривати шкідливі URL у браузері за замовчуванням користувача, завантажуючи експлойти або фішингові сайти.

Генерувати спам або шкідливий контент через електронну пошту та API для обміну повідомленнями, поширюючи шкідливе програмне забезпечення.

Згідно з оцінкою загроз команди з Тель-Авівського університету, кілька векторів класифікуються як критично небезпечні, особливо в поєднанні з соціальною інженерією або в корпоративному середовищі.

Останні заходи пом’якшення та реакція галузі

Після відповідального розкриття у лютому 2025 року Google прискорив впровадження кількох заходів захисту:

Моделі класифікації контенту: Нові трансформерні класифікатори сканують описи календаря, документи та електронні листи на предмет підозрілих шаблонів інструкцій.

Фільтри на основі регулярних виразів та евристики: Посилене парсинг ICS-пейлоадів, забороняючи вбудовані кодові теги та несанкціоновані виклики tool_code.

Запити на підтвердження користувача: Мультиетапні підтвердження для дій, таких як видалення подій або активація команд розумного дому, з можливістю використання двофакторної аутентифікації.

У той же час Microsoft впровадила оновлені політики Guardrail для Copilot, а нещодавній реліз OpenAI gpt-4o включає спеціальний пісочний шар для ізоляції викликів інструментів. Аналітики Gartner прогнозують, що до 2026 року всі основні платформи ШІ інтегрують моніторинг ін’єкцій запитів у реальному часі.

Клонування голосу ШІ у атаках вішингу з використанням дипфейків

2025-08-07

Ширші наслідки для агентів на базі ШІ

Оскільки агенти отримують можливості змінювати календарі, здійснювати платежі або керувати екосистемами IoT, площа атаки множиться:

Ризики промислового IoT: Скомпрометований планувальник заводу може активувати аварійні зупинки або маніпулювати SCADA-інтерфейсами.

Перехоплення корпоративних робочих процесів: Шкідливі запрошення в календарі в корпоративних доменах можуть викрадати дані або порушувати засідання ради.

Крос-платформені експлойти: Зловмисники можуть використовувати спільні календарі в G Suite, Outlook 365 або Apple iCloud, розширюючи свій вплив.

Технічні рекомендації та майбутні напрямки

Щоб підвищити стійкість, організації та постачальники повинні розглянути:

Формальну верифікацію ланцюгів запитів до інструментів, щоб забезпечити відсутність неперевірених трансформацій, які можуть призвести до виконання коду.

Динамічні пісочниці, де зовнішні виклики інструментів виконуються в ізольованих контейнерах з суворими політиками ресурсів і мережі.

Виявлення аномалій у поведінці з використанням систем SIEM та XDR для виявлення незвичних послідовностей команд після синхронізації календарів.

“Нам необхідно проводити аудит кожного автоматизованого кроку,” попереджає доктор Емілі Чен, технічний директор SecureAI Labs. “Без прозорості користувачі не можуть простежити рішення ШІ назад до шкідливого джерела.”

Глава Google Search захищає результати ШІ на тлі занепокоєння щодо CTR

2025-08-06

Висновок

Атака на календар Gemini підкреслює важливий урок: оскільки агенти ШІ отримують глибші системні привілеї, зловмисники використовуватимуть кожен вектор — незалежно від того, наскільки він буденний. Надійна безпека ШІ вимагає не лише реактивних патчів, але й проактивних принципів дизайну, які розглядають запити, інструменти та дані користувачів як взаємопов’язані компоненти критично важливої системи безпеки.

Опубліковано: 6 серпня 2025 року | Переглянуто: 10 жовтня 2025 року