A falha de zero clique GeminiJack no Gemini Enterprise permitiu a exfiltração de dados corporativa

A falha de zero clique GeminiJack no Gemini Enterprise permitiu a exfiltração de dados corporativa

A falha de zero clique GeminiJack no Gemini Enterprise permitiu a exfiltração de dados corporativa

O Google corrigiu o GeminiJack, uma falha do Gemini Enterprise com zero clique que poderia vazar dados corporativos por meio de e-mails, convites ou documentos elaborados, segundo a Noma Security.

O Google corrigiu uma falha da Gemini Enterprise chamada GeminiJack, que podem ser explorados em ataques sem clique acionados por e-mails, convites ou documentos elaborados. A vulnerabilidade pode ter exposto dados corporativos sensíveis, segundo a Noma Security.

Gemini Enterprise é a plataforma de produtividade impulsionada por IA do Google para empresas, integrando capacidades de IA generativa em ferramentas como Gmail, Calendar, Docs e outros aplicativos Workspace. Ela permite que as organizações utilizem IA para tarefas como redigir e-mails, resumir documentos, gerar conteúdo e automatizar fluxos de trabalho, tudo dentro de um ambiente corporativo, mantendo os dados seguros.

“A Noma Labs descobriu recentemente uma vulnerabilidade, agora conhecida como GeminiJack, dentro do Google Gemini Enterprise e anteriormente no Vertex AI Search. A vulnerabilidade permitiu que atacantes acessassem e exfiltrassem dados corporativos usando um método tão simples quanto um Google Doc compartilhado, um convite de calendário ou um e-mail.” diz o relatório publicado pela Noma Security. “Nenhum cliques foi exigido do funcionário alvo. Nenhum sinal de alerta apareceu. E nenhuma ferramenta tradicional de segurança foi acionada.”

O GeminiJack mostra que ferramentas de IA acessando Gmail, Docs e Calendar criam uma nova superfície de ataque; manipular a IA pode comprometer dados, sinalizando uma classe crescente de vulnerabilidades nativas de IA.

O GeminiJack permitia que atacantes roubassem dados corporativos ao incorporar instruções ocultas em um documento compartilhado. Quando um funcionário pesquisava no Gemini Enterprise, por exemplo, “mostre nossos orçamentos”, a IA automaticamente recuperava o arquivo envenenado, executava as instruções no Gmail, Calendar e Docs, e enviava os resultados ao atacante por meio de uma solicitação de imagem disfarçada. Não houve malware ou phishing, e o tráfego parecia legítimo. Uma única injeção poderia exfiltrar anos de e-mails, agenda completa e repositórios inteiros de documentos, transformando a IA em uma ferramenta de espionagem corporativa altamente eficiente.

Abaixo está um descrição do ataque fornecida pela Noma Security:

  • 1. Envenenamento por Conteúdo:O atacante cria um Google Doc, evento do Google Calendar ou Gmail com aparência normal e compartilha com alguém da sua organização. dentro do conteúdo há instruções projetadas para dizer à sua IA que procure termos sensíveis como “orçamento”, “finanças” ou “aquisição” e então carregue os resultados em uma URL de imagem externa controlada pelo atacante.
  • 2. Atividade Normal dos Funcionários:Um funcionário comum usa a Gemini Enterprise para buscar algo rotineiro, como “planos orçamentários do quarto trimestre.” Não há nada de incomum na busca deles.
  • 3. Execução da IA:A Gemini Enterprise utiliza seu sistema de recuperação para coletar conteúdo relevante. Ele traz o documento do atacante para seu contexto. A IA interpreta as instruções como consultas legítimas e as executa em todas as fontes de dados do Workspace que tem permissão para acessar.
  • 4. Exfiltração de Dados:O Google Gemini inclui a tag de imagem externa do atacante em sua saída. Quando o navegador tenta carregar essa imagem, ele envia as informações sensíveis coletadas diretamente para o servidor do atacante por meio de uma única requisição HTTP comum.

O ataque utiliza Injeção Imediata Indireta explorar a lacuna entre o conteúdo controlado pelo usuário e como uma IA interpreta instruções. Um atacante coloca comandos ocultos em conteúdos acessíveis, como Google Docs, convites do Calendário ou assuntos do Gmail. Quando um funcionário realiza uma busca normal (por exemplo, “encontrar todos os documentos com Vendas”), o sistema RAG recupera o conteúdo envenenado e o envia para a Gemini. O Gemini interpreta as instruções incorporadas como legítimas, realiza buscas amplas em todos os dados conectados do Workspace e extrai os resultados incorporando-os em uma tag de imagem que envia uma requisição HTTP para o servidor do atacante. Isso permite o roubo silencioso e automático de dados, sem malware ou interação do usuário.

Abaixo está o vídeo PoC publicado pelos pesquisadores:

Os pesquisadores descobriram a vulnerabilidade durante uma avaliação de segurança em 06/05/25 e reportaram a falha à equipe de segurança do Google no mesmo dia.

O Google resolveu rapidamente o problema, coltrabalhando com pesquisadores para corrigir a falha do pipeline RAG que permitia que conteúdos maliciosos fossem interpretados erroneamente como instruções.

“GeminiJack demonstra o cenário de segurança em evolução à medida que os sistemas de IA se integram profundamente aos dados organizacionais. Embora o Google tenha abordado essa questão específica, a categoria mais ampla de ataques indiretos de injeção de prompt contra sistemas RAG exige atenção contínua da comunidade de segurança.” conclui o relatório. “Essa vulnerabilidade representa uma mudança fundamental na forma como devemos pensar sobre segurança corporativa.”

Me siga no Twitter:@securityaffairseFacebookeMastodonte

PierluigiPaganini

(SecurityAffairs–hacking, Google)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.