Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một lỗ hổng bảo mật tận dụng kỹ thuật indirect prompt injection nhắm vào Google Gemini để vượt qua các rào cản ủy quyền và sử dụng Google Calendar như một cơ chế trích xuất dữ liệu.
Lỗ hổng này, theo Liad Eliyahu, Trưởng bộ phận Nghiên cứu của Miggo Security, đã giúp vượt qua các kiểm soát quyền riêng tư của Google Calendar bằng cách ẩn một payload độc hại "ngủ yên" bên trong một lời mời lịch tiêu chuẩn.
"Sự vượt qua này đã cho phép truy cập trái phép vào dữ liệu cuộc họp riêng tư và tạo ra các sự kiện lịch lừa đảo mà không cần bất kỳ tương tác trực tiếp nào từ người dùng," Eliyahu cho biết trong một báo cáo được chia sẻ với The Hacker News.
Điểm khởi đầu của chuỗi tấn công là một sự kiện lịch mới được tạo bởi threat actor và gửi đến mục tiêu. Mô tả của lời mời nhúng một prompt ngôn ngữ tự nhiên được thiết kế để thực hiện ý đồ của chúng, dẫn đến một prompt injection.
Cuộc tấn công được kích hoạt khi người dùng hỏi Gemini một câu hỏi hoàn toàn vô hại về lịch trình của họ (ví dụ: "Do I have any meetings for Tuesday?"), thúc đẩy chatbot trí tuệ nhân tạo (AI) phân tích prompt được tạo đặc biệt trong mô tả sự kiện đã nói ở trên để tóm tắt tất cả các cuộc họp của người dùng cho một ngày cụ thể, thêm dữ liệu này vào một sự kiện Google Calendar mới được tạo, và sau đó trả về một phản hồi vô hại cho người dùng.
"Tuy nhiên, đằng sau hậu trường, Gemini đã tạo một sự kiện lịch mới và viết một bản tóm tắt đầy đủ về các cuộc họp riêng tư của người dùng mục tiêu trong mô tả sự kiện," Miggo cho biết. "Trong nhiều cấu hình lịch enterprise, sự kiện mới này hiển thị cho attacker, cho phép họ đọc dữ liệu riêng tư đã được exfiltrate mà người dùng mục tiêu không cần thực hiện bất kỳ hành động nào."
Mặc dù vấn đề này đã được khắc phục sau khi tiết lộ một cách có trách nhiệm, những phát hiện này một lần nữa minh họa rằng các tính năng AI-native có thể mở rộng attack surface và vô tình đưa ra các rủi ro bảo mật mới khi ngày càng nhiều tổ chức sử dụng các công cụ AI hoặc xây dựng các agent riêng của họ để tự động hóa quy trình làm việc.
"Các ứng dụng AI có thể bị thao túng thông qua chính ngôn ngữ mà chúng được thiết kế để hiểu," Eliyahu lưu ý. "Các lỗ hổng không còn bị giới hạn trong code. Chúng giờ đây tồn tại trong ngôn ngữ, ngữ cảnh và hành vi của AI tại runtime."
Việc tiết lộ này diễn ra vài ngày sau khi Varonis trình bày chi tiết một cuộc tấn công có tên Reprompt có thể giúp adversaries exfiltrate dữ liệu nhạy cảm từ các chatbot trí tuệ nhân tạo (AI) như Microsoft Copilot chỉ bằng một cú nhấp chuột, đồng thời vượt qua các kiểm soát bảo mật của enterprise.
Những phát hiện này minh họa sự cần thiết phải liên tục đánh giá các large language models (LLMs) trên các khía cạnh an toàn và bảo mật chính, kiểm tra xu hướng hallucination, độ chính xác về mặt thực tế, bias, harm, và khả năng chống jailbreak của chúng, đồng thời bảo vệ các hệ thống AI khỏi các vấn đề truyền thống.
Chỉ tuần trước, XM Cyber của Schwarz Group đã tiết lộ những cách mới để escalate privileges bên trong Google Cloud Vertex AI's Agent Engine và Ray, nhấn mạnh sự cần thiết của các enterprise trong việc kiểm tra mọi service account hoặc identity gắn liền với khối lượng công việc AI của họ.
"Những lỗ hổng này cho phép attacker với minimal permissions chiếm quyền kiểm soát các Service Agents có đặc quyền cao, biến những identity được quản lý 'vô hình' này thành 'double agents' tạo điều kiện cho privilege escalation," các nhà nghiên cứu Eli Shparaga và Erez Hasson cho biết.
Khai thác thành công các lỗ hổng "double agent" có thể cho phép attacker đọc tất cả các phiên trò chuyện, đọc bộ nhớ LLM, và đọc thông tin nhạy cảm có thể được lưu trữ trong storage buckets, hoặc có được quyền root access vào Ray cluster. Với việc Google tuyên bố rằng các dịch vụ hiện đang "working as intended", điều cần thiết là các tổ chức phải xem xét các identity với vai trò Viewer và đảm bảo các kiểm soát thích hợp được áp dụng để ngăn chặn code injection trái phép.
Sự phát triển này trùng hợp với việc phát hiện nhiều lỗ hổng và điểm yếu trong các hệ thống AI khác nhau -
- Các lỗ hổng bảo mật (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615, và CVE-2026-0616) trong The Librarian, một công cụ trợ lý cá nhân được hỗ trợ bởi AI do TheLibrarian.io cung cấp, cho phép attacker truy cập vào cơ sở hạ tầng nội bộ của nó, bao gồm administrator console và môi trường cloud, và cuối cùng làm lộ thông tin nhạy cảm, chẳng hạn như cloud metadata, các process đang chạy trong backend, và system prompt, hoặc đăng nhập vào hệ thống backend nội bộ của nó.
- Một lỗ hổng cho thấy cách các system prompt có thể được trích xuất từ các trợ lý LLM dựa trên ý định bằng cách yêu cầu chúng hiển thị thông tin ở định dạng Base64-encoded trong các trường biểu mẫu. "Nếu một LLM có thể thực hiện các actions mà write vào bất kỳ trường nào, log, database entry, hoặc file, mỗi cái đều trở thành một kênh exfiltration tiềm năng, bất kể giao diện trò chuyện bị khóa chặt đến mức nào," Praetorian cho biết.
- Một cuộc tấn công cho thấy cách một malicious plugin được tải lên một marketplace cho Anthropic Claude Code có thể được sử dụng để bypass các biện pháp bảo vệ human-in-the-loop thông qua hooks và exfiltrate các file của người dùng thông qua indirect prompt injection.
- Một lỗ hổng critical trong Cursor (CVE-2026-22708) cho phép remote code execution thông qua indirect prompt injection bằng cách khai thác một sơ suất cơ bản trong cách các IDE agentic xử lý các lệnh shell built-in. "Bằng cách lạm dụng các shell built-in được tin cậy ngầm như export, typeset, và declare, các threat actor có thể thao túng một cách âm thầm các environment variables mà sau đó làm nhiễm độc hành vi của các legitimate developer tools," Pillar Security cho biết. "Chuỗi tấn công này converts benign, user-approved commands -- chẳng hạn như git branch hoặc python3 script.py -- thành các vector arbitrary code execution."
Một phân tích bảo mật về năm IDE mã hóa "Vibe coding", bao gồm Cursor, Claude Code, OpenAI Codex, Replit, và Devin, đã phát hiện ra rằng các coding agent giỏi trong việc tránh các lỗ hổng SQL injections hoặc XSS, nhưng lại gặp khó khăn khi xử lý các vấn đề SSRF, business logic, và thực thi ủy quyền thích hợp khi truy cập APIs. Tệ hơn nữa, không có công cụ nào bao gồm CSRF protection, security headers, hoặc login rate limiting.
Bài kiểm tra này làm nổi bật những giới hạn hiện tại của "vibe coding", cho thấy rằng sự giám sát của con người vẫn là chìa khóa để khắc phục những khoảng trống này.
"Không thể tin tưởng các coding agent trong việc thiết kế các ứng dụng an toàn," Ori David của Tenzai cho biết. "Mặc dù chúng có thể tạo ra code an toàn (đôi khi), các agent liên tục thất bại trong việc triển khai các kiểm soát bảo mật quan trọng mà không có hướng dẫn rõ ràng. Khi ranh giới không rõ ràng – quy trình làm việc business logic, quy tắc ủy quyền và các quyết định bảo mật phức tạp khác – các agent sẽ mắc lỗi."
