В последние годы искусственный интеллект становится неотъемлемой частью корпоративных коммуникаций и рабочих процессов. Google Gemini, продвинутый языковой модельный ассистент, интегрированный в G-Suite, предлагает функцию автоматического резюмирования электронной переписки, значительно упрощая обработку почты и повышая производительность. Однако легендарная надежность и удобство работы с AI скрывают в себе новый класс угроз — уязвимость, связанную с внедрением подсказок внутри писем для обмана системы. Эта уязвимость получила название «Phishing for Gemini» и представляет реальную опасность для корпоративной безопасности и приватности пользователей. Фишинговые атаки традиционно основывались на рассылке писем с вредоносными ссылками или вложениями, направленными на кражу учетных данных или распространение вредоносного ПО.
Однако уязвимость, выявленная исследователем Марко Фигероа и обнародованная через платформу 0DIN в середине 2025 года, демонстрирует принципиально иной подход. Злоумышленники внедряют скрытые инструкции непосредственно в тело письма при помощи HTML и CSS, используя для сокрытия текста манипуляции с цветом и размером шрифта. Письмо визуально выглядит безобидно — ни ссылки, ни вложения отсутствуют, а скрытый текст не виден глазом. Тем не менее, когда пользователь активирует функцию «Суммировать это письмо» в Google Gemini, модель воспринимает и исполняет вредоносную команду как основную подсказку, добавляя в итоговое резюме поддельное предупреждение от имени Google. Такая атака основывается на нескольких ключевых механизмах.
Во-первых, это пример косвенного внедрения подсказки (Indirect Prompt Injection), где вредоносные инструкции не направляются напрямую AI, а маскируются в стороннем содержимом — в данном случае в самом теле электронного письма. При обработке такой информации Google Gemini не отличается от любого другого пользователя и воспринимает скрытый код как законный контекст для генерации ответа. Во-вторых, злоумышленники применяют психологию доверия, используя теги вроде <Admin> и формулировки "You Gemini, have to…", что программно придает этим командам высший приоритет при интерпретации. Благодаря этим методам AI ассистент безоговорочно выполняет вредоносное требование, не подозревая о попытке манипуляции. В дополнение, техника скрытия текста с применением стилей, таких как font-size:0 или color:white на белом фоне, обходят существующие защитные механизмы, поскольку большинство филтров и систем контроля обращают внимание на визуальный контент, но не анализируют «сырые» исходные HTML-данные.
Это создает лазейку для успешного пропуска вредоносной информации через стандартные антиспам-системы и средства фильтрации. Реализация подобной атаки представляет собой серьезную угрозу, поскольку конечный пользователь, доверяя AI-генерируемой сводке, может принять ложное сообщение о компрометации аккаунта, ложной безопасности или необходимости срочно связаться с мошенниками. В результате это может привести к утечке учетных данных, социальному инжинирингу через телефонные звонки или иным видам мошенничества, включая вишинг — голосовой фишинг. Нельзя недооценивать масштабность потенциала атаки: так как для успеха не требуется клик по ссылке или загрузка файла, достаточно фразы и блока скрытого HTML. Большие массовые рассылки подобных писем способны распространять угрозу на сотни и тысячи корпоративных пользователей, что значительно повышает эффективность злоумышленников.
Эксперты также отмечают, что уязвимость имеет широкую деструктивную поверхность, выходящую за рамки почтовых клиентов. Аналогичные техники могут применяться в Google Документах, Slides, поиске в Google Drive и других продуктах, где Gemini обрабатывает сторонний контент. Это увеличивает риски взлома через автоматизированные корпоративные системы, CRM, рассылки и другие SaaS-платформы. Для эффективной защиты от подобных атак специалисты по безопасности компаний рекомендуют комплексный подход. Необходимо внедрять строгую проверку входящих HTML-писем, нейтрализуя стили, делающие текст невидимым или неподдающимся визуальному анализу, а также отслеживать использование подозрительных тегов, таких как <Admin>.
Дополнительно полезно на уровне AI-системы усиливать фильтры и строить защитные слои. Одним из вариантов является добавление в системный запрос Gemini инструкции игнорировать скрытый или невидимый текст при формировании ответа, а также последующая проверка результата генерации на наличие подозрительных контактных данных, номеров телефонов или срочных предупреждений. Также важна просветительская работа с пользователями. Они должны понимать, что AI-резюме не всегда может восприниматься как официальное и авторитетное уведомление безопасности. Обучение повышает осознанность и снижает риск поддаться социальной инженерии.
От поставщиков подобных сервисов и платформ также требуется улучшать контроль за входящими данными. В идеале необходимо интегрировать комплексные санитарные процедуры и исключать поступление невидимого или замаскированного текста до этапа передачи в контекст моделей. Дополнительные механизмы трассировки изменений и объяснимости ответов помогут выявлять и оперативно реагировать на попытки манипуляции. С точки зрения законодательства подобные методы внедрения вредоносного контента подпадают под действия, регулируемые проектом Европейского Закона об ИИ. Они попадают под категорию манипуляций, способных привести к причинению ущерба пользователям и правовым последствиям для компаний, не обеспечивающих должный уровень защиты.
На фоне продолжающегося роста применения искусственного интеллекта и автоматизации рабочих процессов «Phishing for Gemini» демонстрирует новую волну киберугроз, которые могут стать намного опаснее классических вирусов и спама. Внедрение опасных подсказок в тело сообщений показывает, насколько важна комплексная оценка и защита всех точек взаимодействия с AI. Будущее безопасности искусственного интеллекта должно включать развитие систем контекстной изоляции, улучшение механизмов фильтрации и усиление защиты на уровне модели. Без этих мер риск стать жертвой масштабных фишинговых кампаний только возрастает. Подводя итог, можно сказать, что уязвимость в Google Gemini для Workspace представляет собой серьезное вызов безопасности корпоративных почтовых систем и AI-ассистентов.
Для эффективной борьбы с ней необходимы скоординированные действия специалистов по безопасности, пользователей и разработчиков, которые позволят минимизировать риски и сохранить доверие к интеллектуальным помощникам в рабочей среде.