Google corrige falha empresarial Gemini que expôs dados corporativos

Google corrige falha empresarial Gemini que expôs dados corporativos

O Google corrigiu uma vulnerabilidade de zero clique na Gemini Enterprise que poderia levar a vazamentos de dados corporativos.

A falha foi descoberta em junho de 2025 por pesquisadores de segurança da Noma Security e reportada ao Google no mesmo dia.

Apelidado de ‘GeminiJack’ pelos pesquisadores, ele é uma fraqueza arquitetônica no Google Gemini Enterprise, o conjunto de ferramentas de assistente corporativo de IA do Google, e no Vertex AI Search, uma plataforma Google Cloud para construir experiências de busca e recomendação baseadas em IA.

Essa fraqueza permite um tipo de Injeção Imediata Indireta permitindo que atacantes adicionem instruções maliciosas a documentos comuns no Gmail, Google Calendar, Google Documents – ou qualquer outro componente do Google Workspace que a Gemini Enterprise tenha acessado – para exfiltrar informações corporativas sensíveis.

Explorar essa falha não exige que o funcionário alvo clique em qualquer lugar e não aciona nenhum controle de segurança.

Cadeia de Ataque de GeminiJack

O atacante só precisa incorporar instruções ocultas em um documento compartilhado ou contribuído externamente para realizar o ataque.

Aqui está a divisão dos principais passos da cadeia de ataques:

  1. Intoxicação por conteúdo: Um atacante cria um Google Doc, evento do Calendário ou e-mail do Gmail aparentemente inofensivo, contendo instruções ocultas para que a Gemini Enterprise busque termos sensíveis e incorpore resultados em uma URL de imagem externa que eles controlam
  2. Gatilho: Um funcionário legítimo realiza uma busca rotineira, involuntariamente fazendo com que a IA processe o conteúdo envenenado do atacante
  3. Execução por IA: O Gemini recupera o documento do atacante, interpreta erroneamente as instruções como válidas e escaneia os dados autorizados do Workspace em busca dos termos sensíveis
  4. Exfiltração: A IA inclui a tag de imagem maliciosa do atacante em sua resposta. Quando carregado, o navegador da vítima envia os dados roubados para o servidor do atacante via uma requisição HTTP padrão, contornando as verificações tradicionais de segurança

Esse ataque funcionou porque o recurso de busca do Google Gemini EnterpriseAI implementa uma arquitetura de Geração Aumentada por Recuperação (RAG) que permite que organizações consultem múltiplas fontes de dados no Google Workspace.

“As organizações devem pré-configurar quais fontes de dados o sistema RAG pode acessar. Essa etapa de pré-configuração determina o escopo dos dados disponíveis para o modelo Gemini durante o processamento de consultas. Uma vez configurado, o sistema tem acesso persistente a essas fontes de dados para todas as consultas dos usuários”, disseram os pesquisadores da Noma Security.

“A vulnerabilidade explora a fronteira de confiança entre o conteúdo controlado pelo usuário nas fontes de dados e o processamento de instruções do modelo de IA. Um atacante pode plantar instruções maliciosas em conteúdos que são recuperados e processados pelo sistema RAG.”

A Noma Security compartilhou uma exploração passo a passo de prova de conceito (PoC) para essa vulnerabilidade em seu relatório sobre GeminiJack, publicado em 8 de dezembro.

Adoção de IA corporativa traz um risco crescente de injeção indireta de prompts

O Google confirmou o recebimento do relatório de vulnerabilidade da Noma Security em agosto e começou a trabalhar com eles para corrigi-la.

O gigante da tecnologia implementou atualizações que mudaram a forma como a Gemini Enterprise e a Vertex AI Search interagem com seus sistemas subjacentes de recuperação e indexação.

Após a descoberta, o Vertex AI Search foi totalmente separado do Gemini Enterprise e não utiliza mais os mesmos fluxos de trabalho grandes baseados em modelos de linguagem (LLM) ou capacidades RAG.

No entanto, os pesquisadores da Noma Security esperam que esse ataque não seja o último desse tipo.

Eles afirmaram que os controles tradicionais de defesa do perímetro, soluções de proteção de endpoints e ferramentas de prevenção de perda de dados “não foram projetados para detectar quando seu assistente de IA se torna um motor de exfiltração.”

“À medida que agentes de IA ganham acesso mais amplo a dados corporativos e autonomia para agir sob instruções, o raio de explosão de uma única vulnerabilidade se expande exponencialmente. Organizações que implantam sistemas de IA com acesso a dados sensíveis devem considerar cuidadosamente os limites de confiança, implementar monitoramento robusto e se manter informadas sobre pesquisas emergentes em segurança em IA”, concluíram os pesquisadores da Noma Security.

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) compartilhou recentemente Nova orientação para mitigar ataques de injeção rápida.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.