Falha de Prompt Injection no Google Gemini expôs dados privados do Google Calendar por meio de convites maliciosos

Foi revelado uma falha de segurança no Google Gemini que permitia a extração de dados privados do Google Calendar por meio de uma técnica conhecida como prompt injection indireto. A vulnerabilidade explorava a forma como a inteligência artificial interpreta linguagem natural, contornando controles de autorização e privacidade.

A descoberta foi feita pela empresa Miggo Security, e detalhada por seu chefe de pesquisa, Liad Eliyahu. Segundo o relatório, hackers conseguiam inserir um payload malicioso “adormecido” dentro da descrição de um convite legítimo de calendário. Esse conteúdo, embora parecesse inofensivo, era interpretado posteriormente pelo Gemini como uma instrução válida.

O ataque começava quando o hacker enviava um convite de reunião especialmente elaborado à vítima. Na descrição do evento, era incluído um texto em linguagem natural projetado para manipular o comportamento do Gemini. O gatilho ocorria apenas quando o usuário fazia uma pergunta comum ao assistente, como “Tenho alguma reunião na terça-feira?”. Ao responder, o Gemini processava o prompt oculto e criava um novo evento no Google Calendar contendo um resumo completo das reuniões privadas do usuário.

“Nos bastidores, o Gemini criava um novo evento e escrevia um resumo detalhado das reuniões privadas da vítima na descrição”, explicou a Miggo. Em muitos ambientes corporativos, esse novo evento ficava visível para o hacker, permitindo a leitura dos dados exfiltrados sem qualquer interação direta da vítima.

Embora o Google tenha corrigido o problema após divulgação responsável, o caso evidencia como funcionalidades nativas de IA podem ampliar significativamente a superfície de ataque. Diferente de vulnerabilidades tradicionais, esse tipo de falha não está no código, mas no uso de linguagem, contexto e no comportamento da IA em tempo de execução.

O alerta surge dias após a Varonis divulgar o ataque “Reprompt”, que demonstrou como dados sensíveis poderiam ser exfiltrados de chatbots corporativos, como o Microsoft Copilot, com um único clique, contornando controles de segurança empresariais.

Outras pesquisas recentes reforçam o cenário de risco. A XM Cyber, do grupo Schwarz, identificou formas de escalar privilégios em serviços do Google Cloud Vertex AI, explorando identidades de serviço com permissões excessivas. Já ferramentas de desenvolvimento baseadas em IA, como Cursor, OpenAI Codex, Replit e Devin, apresentaram dificuldades em lidar com falhas de lógica de negócio, SSRF e controle de autorização.

Segundo especialistas, esses casos deixam claro que, apesar dos avanços, agentes de IA ainda não podem ser considerados confiáveis para projetar aplicações seguras sem supervisão humana rigorosa. Em ambientes corporativos, a recomendação é reforçar auditorias de identidade, revisar permissões e tratar sistemas de IA como ativos críticos de segurança.