Pesquisadores de segurança revelaram uma vulnerabilidade no Google Gemini que possibilitava a extração de informações privadas do Google Calendar por meio de uma técnica conhecida como prompt injection indireto. A falha explorava a maneira como a inteligência artificial interpreta comandos em linguagem natural, permitindo contornar mecanismos de autorização e proteção de dados.
A descoberta foi realizada pela Miggo Security e detalhada por seu chefe de pesquisa, Liad Eliyahu. De acordo com o relatório, atacantes conseguiam inserir um payload malicioso “adormecido” na descrição de um convite legítimo de calendário. Embora o conteúdo aparentasse ser inofensivo, ele era posteriormente interpretado pelo Gemini como uma instrução válida.
O ataque tinha início com o envio de um convite de reunião cuidadosamente elaborado à vítima. Na descrição do evento, os hackers incluíam um texto em linguagem natural projetado para manipular o comportamento do assistente. O gatilho era ativado quando o usuário fazia uma pergunta comum ao Gemini, como “Tenho alguma reunião na terça-feira?”. Ao processar a solicitação, a IA interpretava o prompt oculto e criava automaticamente um novo evento no Google Calendar, contendo um resumo detalhado das reuniões privadas do usuário.
Segundo a Miggo Security, nos bastidores o Gemini gerava esse novo evento e inseria na descrição informações sensíveis extraídas da agenda da vítima. Em ambientes corporativos, esse evento adicional podia ficar visível ao atacante, permitindo a leitura dos dados exfiltrados sem qualquer interação direta do usuário comprometido.
O Google informou que a vulnerabilidade foi corrigida após um processo de divulgação responsável. Ainda assim, o episódio reforça como recursos nativos de IA podem ampliar significativamente a superfície de ataque. Diferentemente de falhas tradicionais, esse tipo de vulnerabilidade não está no código-fonte, mas na interpretação de linguagem, no contexto e no comportamento dinâmico da IA em tempo de execução.
O alerta surge poucos dias após a divulgação do ataque “Reprompt”, revelado pela Varonis, que demonstrou a possibilidade de exfiltrar dados sensíveis de chatbots corporativos, como o Microsoft Copilot, com apenas um clique, contornando controles de segurança empresariais.
Outras pesquisas recentes reforçam o cenário de risco. A XM Cyber, do grupo Schwarz, identificou formas de escalar privilégios em serviços do Google Cloud Vertex AI, explorando identidades de serviço com permissões excessivas. Além disso, ferramentas de desenvolvimento baseadas em IA, como Cursor, OpenAI Codex, Replit e Devin, apresentaram limitações na detecção de falhas de lógica de negócio, SSRF e controle de autorização.
Especialistas alertam que, apesar dos avanços rápidos, agentes de IA ainda não devem ser considerados confiáveis para o desenvolvimento de aplicações seguras sem supervisão humana rigorosa. Em ambientes corporativos, a recomendação é tratar sistemas de IA como ativos críticos de segurança, reforçando auditorias de identidade, revisão de permissões e monitoramento contínuo.
