Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad que utiliza una inyección rápida indirecta contra Google Gemini para eludir las pautas de autorización y utilizar Google Calendar como mecanismo de extracción de datos.
La vulnerabilidad, dijo Liad Eliyahu, director de investigación de Miggo Security, permitió eludir los controles de privacidad de Google Calendar al ocultar una carga maliciosa inactiva en una invitación de calendario estándar.
“Esta omisión permitió el acceso no autorizado a datos de reuniones privadas y la creación de eventos de calendario engañosos sin interacción directa del usuario”, dijo Eliyahu en un informe compartido con The Hacker News.
El punto de partida de la cadena de ataque es un nuevo evento de calendario creado por el actor de la amenaza y enviado a un objetivo. Incrustado en la descripción de la invitación hay un mensaje en lenguaje natural diseñado para cumplir con sus deseos, lo que da como resultado un mensaje.
El ataque se activa cuando un usuario le hace a Gemini una pregunta completamente inofensiva sobre su agenda (por ejemplo, “¿Tengo alguna reunión el martes?”), lo que hace que el chatbot de inteligencia artificial (IA) analice el mensaje especialmente diseñado en la descripción del evento anterior para resumir todas las reuniones de los usuarios para un día determinado, agregue esos datos a un evento de Google Calendar recién creado y luego envíe una respuesta inofensiva al usuario.
“Sin embargo, detrás de escena, Gemini creó un nuevo evento de calendario y escribió un resumen completo de las reuniones privadas de nuestro usuario objetivo en la descripción del evento”, dijo Miggo. “En muchas configuraciones de calendario corporativo, el nuevo evento era visible para el atacante, lo que le permitía leer los datos privados exfiltrados sin que el usuario objetivo tomara ninguna medida”.
Aunque el problema se resolvió luego de una divulgación responsable, los hallazgos reiteran que las capacidades nativas de la IA pueden ampliar la superficie de ataque e introducir inadvertidamente nuevos riesgos de seguridad a medida que más empresas utilizan herramientas de IA o desarrollan sus propios agentes internamente para automatizar los flujos de trabajo.
“Las aplicaciones de IA se pueden manipular a través del mismo lenguaje para el que están diseñadas para comprender”, señaló Eliyahu. “Las vulnerabilidades ya no se limitan al código. Ahora residen en el lenguaje, el contexto y el comportamiento de la IA en tiempo de ejecución”.
La revelación se produce días después de que Varonis describiera un ataque llamado Reprompt que podría haber permitido a los atacantes exfiltrar datos confidenciales de chatbots de inteligencia artificial (IA) como Microsoft Copilot con un solo clic, evitando los controles de seguridad de la compañía.
Los resultados resaltan la necesidad de evaluar continuamente grandes modelos de lenguaje (LLM) en dimensiones clave de seguridad, probando su propensión a alucinaciones, precisión fáctica, sesgos, daños y resistencia al jailbreak, al tiempo que se protegen los sistemas de inteligencia artificial de los problemas tradicionales.
La semana pasada, XM Cyber de Schwarz Group reveló nuevas capacidades de escalada de privilegios dentro de Agent Engine y Ray de Google Cloud Vertex AI, lo que subraya la necesidad de que las organizaciones auditen cada cuenta de servicio o identidad asociada con sus cargas de trabajo de IA.
“Estas vulnerabilidades permiten a un atacante con privilegios mínimos secuestrar agentes de servicio con privilegios elevados, convirtiendo efectivamente estas identidades administradas 'invisibles' en 'agentes duales' que facilitan la escalada de privilegios”, dijeron los investigadores Eli Shparaga y Erez Hasson.
La explotación exitosa de las vulnerabilidades del agente doble podría permitir a un atacante leer todas las sesiones de chat, leer el almacenamiento LLM y leer información potencialmente confidencial almacenada en depósitos de almacenamiento, u obtener acceso raíz al clúster Ray. Debido a que Google afirma que los servicios actualmente “funcionan según lo previsto”, es importante que las organizaciones verifiquen las identidades con el rol de espectador y se aseguren de que existan controles adecuados para evitar la inyección de código no autorizado.
El desarrollo coincide con el descubrimiento de varias vulnerabilidades y debilidades en varios sistemas de IA:
- Vulnerabilidades (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 y CVE-2026-0616) en The Librarian, una herramienta de asistente personal impulsada por IA de TheLibrarian.io, que permite a un atacante acceder a su infraestructura interna, incluida la consola de administrador y el entorno de la nube, y, en última instancia, comprometer información confidencial, como metadatos de la nube, procesos en ejecución dentro del Bibliotecario, revele el backend y el sistema o inicie sesión en el sistema backend interno.
- Una vulnerabilidad que muestra cómo se pueden extraer indicaciones del sistema de asistentes LLM basados en intenciones pidiéndoles que muestren la información en formato codificado Base64 en los campos del formulario. “Si un LLM puede realizar acciones que escriben en cualquier campo, registro, entrada de base de datos o archivo, cada uno de ellos se convierte en un canal potencial de exfiltración, independientemente de cuán bloqueada esté la interfaz de chat”, dijo Praetorian.
- Un ataque que muestra cómo un complemento malicioso subido a un mercado de Anthropic Claude Code se puede utilizar para eludir las protecciones humanas mediante ganchos y exfiltrar los archivos de un usuario mediante una inyección indirecta.
- Una vulnerabilidad crítica en Cursor (CVE-2026-22708) que permite la ejecución remota de código mediante inyección indirecta al explotar una supervisión fundamental en cómo los IDE agentes manejan los comandos integrados en el shell. “Al abusar de integraciones de shell implícitamente confiables, como Export, Typeset y Declare, los actores de amenazas pueden manipular silenciosamente variables de entorno que posteriormente envenenan el comportamiento de herramientas de desarrollo legítimas”, dijo Pillar Security. “Esta cadena de ataque convierte comandos inofensivos aprobados por el usuario, como git branch o python3 script.py, en vectores de ejecución de código arbitrarios”.
Un análisis de seguridad de cinco IDE de codificación de Vibe, a saber. Cursor, Claude Code, OpenAI Codex, Replit y Devin, que han encontrado agentes de codificación, son buenos para evitar inyecciones de SQL o errores XSS, pero tienen dificultades cuando se trata de lidiar con problemas de SSRF, lógica de negocios y hacer cumplir la autorización adecuada al acceder a las API. Para empeorar las cosas, ninguna de las herramientas incluía protección CSRF, encabezados de seguridad o límites de tasa de inicio de sesión.
La prueba destaca las limitaciones actuales de la codificación de Vibe y muestra que la supervisión humana sigue siendo clave para cerrar estas brechas.
“No se puede confiar en agentes de programación para diseñar aplicaciones seguras”, dijo Ori David de Tenzai. Si bien (a veces) producen código seguro, los agentes constantemente no implementan controles de seguridad clave sin una guía explícita. Cuando los límites no están claros (flujos de trabajo de lógica empresarial, reglas de autorización y otras decisiones de seguridad detalladas) los agentes cometen errores”.
About The Author
