Investigadores de ciberseguridad han revelado detalles de una falla de seguridad que aprovecha la inyección indirecta dirigida a Google Gemini como una forma de eludir las barreras de autorización y utilizar Google Calendar como mecanismo de extracción de datos.
La vulnerabilidad, dijo el jefe de investigación de Miggo Security, Liad Eliyahu, hizo posible eludir los controles de privacidad de Google Calendar al ocultar una carga maliciosa inactiva dentro de una invitación de calendario estándar.
«Esta omisión permitió el acceso no autorizado a datos de reuniones privadas y la creación de eventos de calendario engañosos sin ninguna interacción directa del usuario», dijo Eliyahu en un informe compartido con The Hacker News.
El punto de partida de la cadena de ataque es un nuevo evento de calendario elaborado por el actor de la amenaza y enviado a un objetivo. La descripción de la invitación incorpora un mensaje en lenguaje natural que está diseñado para cumplir sus órdenes, lo que resulta en una inyección rápida.
El ataque se activa cuando un usuario le hace a Gemini una pregunta completamente inofensiva sobre su agenda (por ejemplo, ¿Tengo alguna reunión para el martes?), lo que hace que el chatbot de inteligencia artificial (IA) analice el mensaje especialmente diseñado en la descripción del evento antes mencionado para resumir todas las reuniones de los usuarios para un día específico, agregue estos datos a un evento de Google Calendar recién creado y luego devuelva una respuesta inofensiva al usuario.
«Sin embargo, detrás de escena, Gemini creó un nuevo evento de calendario y escribió un resumen completo de las reuniones privadas de nuestro usuario objetivo en la descripción del evento», dijo Miggo. «En muchas configuraciones de calendario empresarial, el nuevo evento era visible para el atacante, lo que le permitía leer los datos privados exfiltrados sin que el usuario objetivo tomara ninguna medida».
Aunque desde entonces el problema se ha abordado tras una divulgación responsable, los hallazgos ilustran una vez más que las características nativas de la IA pueden ampliar la superficie de ataque e introducir inadvertidamente nuevos riesgos de seguridad a medida que más organizaciones utilizan herramientas de IA o construyen sus propios agentes internamente para automatizar los flujos de trabajo.
«Las aplicaciones de IA pueden manipularse a través del mismo lenguaje para el que fueron diseñadas», señaló Eliyahu. «Las vulnerabilidades ya no se limitan al código. Ahora residen en el lenguaje, el contexto y el comportamiento de la IA en tiempo de ejecución».
La divulgación se produce días después de que Varonis detallara un ataque llamado Reprompt que podría haber hecho posible que los adversarios exfiltraran datos confidenciales de chatbots de inteligencia artificial (IA) como Microsoft Copilot con un solo clic, evitando al mismo tiempo los controles de seguridad empresariales.
Los hallazgos ilustran la necesidad de evaluar constantemente grandes modelos de lenguaje (LLM) en dimensiones clave de seguridad, poniendo a prueba su inclinación por las alucinaciones, la precisión de los hechos, el sesgo, el daño y la resistencia al jailbreak, y al mismo tiempo proteger los sistemas de inteligencia artificial de los problemas tradicionales.
La semana pasada, XM Cyber de Schwarz Group reveló nuevas formas de escalar privilegios dentro de Agent Engine y Ray de Google Cloud Vertex AI, lo que subraya la necesidad de que las empresas auditen cada cuenta de servicio o identidad adjunta a sus cargas de trabajo de IA.
«Estas vulnerabilidades permiten a un atacante con permisos mínimos secuestrar agentes de servicio con altos privilegios, convirtiendo efectivamente estas identidades administradas ‘invisibles’ en ‘agentes dobles’ que facilitan la escalada de privilegios», dijeron los investigadores Eli Shparaga y Erez Hasson.
La explotación exitosa de las fallas del agente doble podría permitir a un atacante leer todas las sesiones de chat, leer memorias LLM y leer información potencialmente confidencial almacenada en depósitos de almacenamiento u obtener acceso raíz al clúster de Ray. Dado que Google afirma que los servicios actualmente «funcionan según lo previsto», es esencial que las organizaciones revisen las identidades con la función de Visor y garanticen que existan controles adecuados para evitar la inyección de código no autorizado.
El desarrollo coincide con el descubrimiento de múltiples vulnerabilidades y debilidades en diferentes sistemas de IA.
- Fallos de seguridad (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 y CVE-2026-0616) en The Librarian, una herramienta de asistente personal impulsada por IA proporcionada por TheLibrarian.io, que permite a un atacante acceder a su infraestructura interna, incluida la consola del administrador y el entorno de la nube, y, en última instancia, filtrar información confidencial, como metadatos de la nube, ejecutar procesos dentro del backend. y el indicador del sistema, o inicie sesión en su sistema backend interno.
- Una vulnerabilidad que demuestra cómo se pueden extraer indicaciones del sistema de asistentes LLM basados en intenciones solicitándoles que muestren la información en formato codificado en Base64 en los campos del formulario. «Si un LLM puede ejecutar acciones que escriben en cualquier campo, registro, entrada de base de datos o archivo, cada uno se convierte en un canal de exfiltración potencial, independientemente de cuán bloqueada esté la interfaz de chat», dijo Praetorian.
- Un ataque que demuestra cómo un complemento malicioso subido a un mercado de Anthropic Claude Code se puede utilizar para eludir las protecciones humanas mediante ganchos y exfiltrar los archivos de un usuario mediante una inyección indirecta.
- Una vulnerabilidad crítica en Cursor (CVE-2026-22708) que permite la ejecución remota de código mediante inyección indirecta de aviso al explotar una supervisión fundamental en cómo los IDE agentes manejan los comandos integrados del shell. «Al abusar de las funciones integradas implícitamente confiables del shell, como exportar, componer y declarar, los actores de amenazas pueden manipular silenciosamente variables de entorno que posteriormente envenenan el comportamiento de las herramientas de desarrollo legítimas», dijo Pillar Security. «Esta cadena de ataque convierte comandos benignos y aprobados por el usuario, como git branch o python3 script.py, en vectores de ejecución de código arbitrarios».
Un análisis de seguridad de cinco IDE de codificación de Vibe, a saber. Cursor, Claude Code, OpenAI Codex, Replit y Devin, que encontraron agentes de codificación, son buenos para evitar inyecciones de SQL o fallas XSS, pero tienen dificultades cuando se trata de manejar problemas de SSRF, lógica de negocios y hacer cumplir la autorización adecuada al acceder a las API. Para empeorar las cosas, ninguna de las herramientas incluía protección CSRF, encabezados de seguridad o limitación de la tasa de inicio de sesión.
La prueba destaca los límites actuales de la codificación de vibraciones y muestra que la supervisión humana sigue siendo clave para abordar estas brechas.
«No se puede confiar en los agentes codificadores para diseñar aplicaciones seguras», dijo Ori David de Tenzai. Si bien pueden producir código seguro (en algunas ocasiones), los agentes constantemente no implementan controles de seguridad críticos sin una guía explícita. Cuando los límites no están claros (flujos de trabajo de lógica empresarial, reglas de autorización y otras decisiones de seguridad matizadas), los agentes cometerán errores».