פרצת SafeBreach: תוקפים יכולים לחטוף את עוזר הקול של Gemini דרך התראות

חברת האבטחה SafeBreach חשפה פגיעות קריטית שמאפשרת לתוקפים להשתלט על Gemini, עוזר הקול של Google, דרך ניצול של התראות הודעות — למעשה וקטור prompt injection שמועבר דרך תוכן שהעוזר מעבד. החוקרים הדגימו הפעלה של פעולות smart-home ואפילו יזימת שיחות Zoom בלי כוונה של המשתמש.

המנגנון הוא בדיוק לב הבעיה הרחבה יותר של אבטחת agentic-AI: עוזר שקורא התראות נכנסות ופועל לפיהן ניתן להכוונה על ידי טקסט עוין שמוטמע באותן התראות. ומכיוון ש-Gemini הפך לעוזר ברירת המחדל בכל Android, רדיוס הנזק עצום — בדיוק הטרייד-אוף של 'נוכחות בכל מקום מכפילה סיכון' שאסטרטגיית ה-default everywhere של Google מזמינה.

החשיפה נוחתת בשבוע עמוס בסיפורי אבטחת AI: אב-טיפוס של worm מסוג 'BYO LLM' עם open weights, agent שחשף 21 zero-days ב-FFmpeg, ו-OpenAI שמרחיבה את ה-Lockdown Mode ההגנתי שלה. ביחד הם משרטטים את המתח המרכזי — אותה אוטונומיה של agent שהופכת עוזרים לשימושיים היא בדיוק זו שהופכת אותם לפגיעים. מה לבדוק: ה-patch של Google והאם הוא מטפל בשורש הבעיה (gating של פעולות על תוכן לא מהימן) או רק בתיקון נקודתי, ואם רגולטורים יתעניינו לאור ההשלכות הפיזיות של smart-home. הפרק מחזק שה-prompt injection נשאר בלתי פתור עבור עוזרים שמגשרים בין הודעות לשליטה במכשיר.