Календарни покани и Gmail интеграцията на ChatGPT: моделът на атаката
На 12 септември 2025 г. изследователят по сигурността Ейто Миямура демонстрира експлойт, който вероятно е първият, но със сигурност няма да е последният по рода си: злонамерен Google Calendar инжектира инструкции (prompts) в ChatGPT, което, когато е свързано с Gmail, кара модела да изтича лични имейли в отговор. Да, има конкретни предпоставки — трябва да установите връзка между ИИ и Gmail и да използвате Google Calendar толкова интензивно, че непозната покана да успее да се промъкне в него — но подобни модели имат тенденция да еволюират така, че да разширяват обхвата на атаката, затова е най-добре да знаете какво точно се случва и как можете да се защитите. Прочетете нататък и за двете.
Злонамерени покани в Google Calendar: какво се крие под капака
Оръжието тук се нарича “индиректни инжекции на промптове”. Те експлоатират старателността на ИИ, като вмъкват злонамерени инструкции във външни данни, които моделът обработва, включително уебсайтове, имейли, покани за календар или документи. В случая с поканите в Google Calendar и интеграцията на ChatGPT с Gmail, ИИ прие поканата, както се очаква, и беше измамен да предаде имейли (след свързване има достъп до много неща) чрез команди, скрити в тези покани.
Терминът “prompt injection” беше въведен от Саймън Уилисън през 2022 г.; изследователят описа как злонамерени актьори могат да дават инструкции на ИИ по начин, подобен на SQL инжекциите. “Индиректните prompt injection-и”, както подсказва името, крият тези команди под слой на изглеждащо безопасно съдържание. Самият термин се приписва на Кай Грешаке и екипа на NVIDIA, които формализираха модела на атака и описаха стратегии за защита срещу него през 2025 г.
Как да се защитите от атаки, включващи индиректни инжекции на промптове?
Няма смисъл да се опитвате напълно да се въздържате от използване на изкуствен интелект: днес може и да успеете да постигнете желаната изолация, но утре големите езикови модели ще бъдат интегрирани в услугите от страна на доставчика и просто няма да имате възможност да ги изключите от своите акаунти. Освен това дори няма да знаете, че връзката съществува. И така, какво можете да направите, за да защитите активите си?
- Бдителност. На първо място, бъдете бдителни и никога не допускайте нищо съмнително в календара си или друга система, която разчита на ИИ за една или друга цел.
- Ред. Поддържайте neщата подредени. Ако наистина не ви е нужен ChatGPT за помощ с имейлите, изключете го. Може да сте пробвали функцията, дори да ви е харесала, но ако няма реален случай на употреба — не се колебайте и не я оставяйте просто включена „за всеки случай“.
- Ограничения. Още днес интеграциите с ИИ могат да се настройват така, че да ви дадат повече контрол върху това с какво работи моделът и при какви условия може да има достъп до данните. Помислете за изключване на всички автоматични рутини. Да, това ще добави ръчни одобрения, но е по-безопасно.
- Съществуващи защити. В Google Calendar, например, можете да настроите приемане на покани само от познати податели. Това е защита; използвайте такива, когато е възможно.
OpenAI призна проблема и препоръча изключване на конекторите. Компанията работи по защити срещу такива атаки, но това е надпревара между щит и меч, затова има смисъл да си осигурите ориентиран към бъдещето пакет за сигурност. Намерете такъв тук:
