В функции Gemini, интегрированной в Gmail, была выявлена серьезная уязвимость, которая может быть использована злоумышленниками для осуществления фишинговых атак с помощью поддельных резюме электронных писем. Об этом сообщает ресурс BleepingComputer, ссылаясь на 0DIN.

Эту уязвимость обнаружил Марко Фигероа, менеджер программы GenAI Bug Bounty в Mozilla. Он отметил, что преступники могут скрывать инструкции в теле электронного письма, используя белый цвет шрифта и уменьшая его до нуля, что делает текст невидимым для человека, но доступным для анализа системы Gemini. В результате, ИИ может автоматически добавлять ложные предупреждения в резюме, такие как фальшивые уведомления о взломах паролей и поддельные номера службы поддержки.

Некоторые пользователи могут не обращать внимания на такие сообщения, однако другие могут стать жертвами эмоционального воздействия подобного контента. Фигероа подчеркивает, что команды безопасности должны разработать методы для обнаружения скрытой информации и анализировать резюме, генерируемые ИИ, на наличие URL-адресов, телефонных номеров или срочных сообщений.

BleepingComputer обратился к Google по поводу этой уязвимости в Gemini. Представитель компании ответил, что пока не было зафиксировано никаких случаев злоупотребления, но добавил, что Google активно работает над повышением безопасности и вскоре внедрит дополнительные меры защиты.