Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,559
- Баллы
- 155
Разработчики Google сообщили, что проблема «контрабанды ASCII-символов» (ASCII smuggling) в Gemini не получит исправлений. Такая атака может использоваться для обмана ИИ-ассистента с целью предоставления пользователям фальшивой информации, изменения поведения модели и скрытого отравления данных.
В рамках атаки ASCII smuggling символы из блока Tags в Unicode используются для внедрения полезных нагрузок, которые невидимы для пользователей, но могут быть обнаружены и обработаны большими языковыми моделями (LLM). По сути, такая атака похожа на другие методы, которые исследователи в последнее время использовали против Google Gemini: все они строятся на разнице того, что видит человек, и что «читает» машина — будь то или графического интерфейса.
ИБ-исследователь из компании FireTail Виктор Маркопулос (Viktor Markopoulos) ASCII smuggling против популярных ИИ-моделей и обнаружил, что перед такими атаками уязвимы Gemini (через приглашения в Календаре и письма), DeepSeek (через промпты) и Grok (через посты в X).
Claude, ChatGPT и Microsoft Copilot, по данным FireTail, оказались защищены лучше — в них реализована очистка входных данных (input sanitization).
Что касается Gemini, его интеграция с Google Workspace создает высокие риски, поскольку злоумышленники могут использовать атаку для встраивания скрытого текста в письма и приглашения в Календаре. Так, Маркопулос обнаружил, что можно скрыть вредоносные инструкции в теме приглашения, в итоге изменив данные организатора и внедрив скрытые описания встречи или ссылки.
Эксперт продемонстрировал, что атака позволяет обмануть Gemini и вынуждает помощника выдавать пользователям ложную информацию. Так, в одном из примеров исследователь передал ИИ невидимую инструкцию, которую Gemini обработал и посоветовал жертве потенциально вредоносный сайт, где якобы можно купить хороший телефон со скидкой.
18 сентября 2025 года исследователь уведомил о своих выводах инженеров Google, однако в компании отклонили его отчет, сообщив, что проблема не является уязвимостью и может использоваться только в контексте атак с применением социальной инженерии.
Эксперт отмечает, что другие компании смотрят на подобные проблемы иначе. К примеру, Amazon опубликовала детальное , посвященное проблеме «контрабанды» Unicode-символов.
В рамках атаки ASCII smuggling символы из блока Tags в Unicode используются для внедрения полезных нагрузок, которые невидимы для пользователей, но могут быть обнаружены и обработаны большими языковыми моделями (LLM). По сути, такая атака похожа на другие методы, которые исследователи в последнее время использовали против Google Gemini: все они строятся на разнице того, что видит человек, и что «читает» машина — будь то или графического интерфейса.
ИБ-исследователь из компании FireTail Виктор Маркопулос (Viktor Markopoulos) ASCII smuggling против популярных ИИ-моделей и обнаружил, что перед такими атаками уязвимы Gemini (через приглашения в Календаре и письма), DeepSeek (через промпты) и Grok (через посты в X).
Claude, ChatGPT и Microsoft Copilot, по данным FireTail, оказались защищены лучше — в них реализована очистка входных данных (input sanitization).
Что касается Gemini, его интеграция с Google Workspace создает высокие риски, поскольку злоумышленники могут использовать атаку для встраивания скрытого текста в письма и приглашения в Календаре. Так, Маркопулос обнаружил, что можно скрыть вредоносные инструкции в теме приглашения, в итоге изменив данные организатора и внедрив скрытые описания встречи или ссылки.
Кроме того, LLM, которым поручено просматривать сайты, могут наткнуться на скрытые полезные нагрузки (например, в описаниях товаров) и получить вредоносные URL для передачи пользователям.
Эксперт продемонстрировал, что атака позволяет обмануть Gemini и вынуждает помощника выдавать пользователям ложную информацию. Так, в одном из примеров исследователь передал ИИ невидимую инструкцию, которую Gemini обработал и посоветовал жертве потенциально вредоносный сайт, где якобы можно купить хороший телефон со скидкой.
18 сентября 2025 года исследователь уведомил о своих выводах инженеров Google, однако в компании отклонили его отчет, сообщив, что проблема не является уязвимостью и может использоваться только в контексте атак с применением социальной инженерии.
Эксперт отмечает, что другие компании смотрят на подобные проблемы иначе. К примеру, Amazon опубликовала детальное , посвященное проблеме «контрабанды» Unicode-символов.