Kalenderinvitationer og ChatGPTs Gmail-integration: angrebsmønsteret
Den 12. september 2025 demonstrerede sikkerhedsforsker Eito Miyamura en udnyttelse, som kan diskuteres at være den første, men bestemt ikke den sidste af sin slags: en ondsindet Google Kalender injicerer prompts i ChatGPT, som, når den er forbundet til Gmail, lækker private e-mails som svar. Ja, der er specifikke forudsætninger — du skal etablere forbindelsen mellem AI’en og Gmail og bruge Google Kalender så intensivt, at en ukendt invitation kan finde vej ind i den — men sådanne mønstre har en tendens til at udvikle sig, så angrebets rækkevidde udvides, så det er bedst at vide præcis, hvad der sker, og hvordan du kan beskytte dig. Læs videre for begge dele.
Ondsindede Google Kalender-invitationer: hvad der gemmer sig under motorhjelmen
Våbnet her kaldes “indirekte prompt-injektioner.” De udnytter AI’ens grundighed ved at indsætte ondsindede instruktioner i de eksterne data, som modellen behandler, herunder websteder, e-mails, kalenderinvitationer eller dokumenter. I tilfældet med Google Kalender-invitationer og ChatGPT’s integration med Gmail tog AI’en invitationen, som den skulle, og blev narret til at udlevere e-mails (når den først er forbundet, har den adgang til en masse ting) af kommandoer, der var skjult i disse invitationer.
Begrebet “prompt injection” blev opfundet af Simon Willison i 2022; forskeren beskrev, hvordan ondsindede aktører kunne give instruktioner til AI’er på stort set samme måde som SQL-injektioner. “Indirekte prompt-injektioner,” som navnet antyder, har disse kommandoer skjult under et lag af tilsyneladende harmløst materiale. Selve termen tilskrives Kai Greshake og NVIDIA-teamet, som formaliserede angrebsmønsteret og beskrev forsvarsstrategier mod det i 2025.
Hvordan beskytter du dig mod angreb, der involverer indirekte prompt-injektioner?
Det nytter ikke at forsøge helt at afholde sig fra at bruge kunstig intelligens: I dag kan du måske opnå den ønskede isolation, men i morgen vil store sprogmodeller blive integreret i tjenester hos udbyderen, og så vil der simpelthen ikke være nogen måde for dig at afkoble dem fra dine konti. Desuden vil du ikke engang vide, at forbindelsen er der. Så hvad kan du gøre for at beskytte dine aktiver?
- Årvågenhed. Frem for alt skal du være årvågen og aldrig lade noget mistænkeligt slippe ind i din kalender eller andre systemer, der læner sig op ad AI til dette eller hint formål.
- Orden. Hold tingene i orden. Hvis du ikke virkelig har brug for, at ChatGPT hjælper dig med e-mails, så deaktivér det. Du har måske prøvet funktionen, endda kunne lide den, men hvis der ikke er et reelt anvendelsestilfælde for den — så tøv ikke, og sæt det ikke på vågeblus.
- Begrænsninger. Selv i dag kan AI-integrationer tilpasses, så du får mere kontrol over, hvad modellen arbejder med, og under hvilke betingelser den kan få adgang til dataene. Overvej at deaktivere alle automatiske rutiner. Ja, det vil tilføje manuelle godkendelser til din menu, men det er mere sikkert på den måde.
- Eksisterende sikkerhedsforanstaltninger. I Google Kalender kan du for eksempel indstille det sådan, at invitationer kun accepteres fra kendte afsendere. Dette er en sikkerhedsforanstaltning; brug sådanne, når det er muligt.
OpenAI erkendte problemet og foreslog at deaktivere connectorer. Virksomheden arbejder på forsvar mod sådanne angreb, men det er et kapløb mellem skjold og sværd, så det giver mening at anskaffe sig en fremadskuende sikkerhedspakke. Find en her:
