Agenda-uitnodigingen en de Gmail-integratie van ChatGPT: het aanvalspatroon
Op 12 september 2025 demonstreerde beveiligingsonderzoeker Eito Miyamura een exploit die, naar men kan stellen, de eerste maar zeker niet de laatste in zijn soort is: een kwaadaardige Google Agenda injecteert prompts in ChatGPT, dat, wanneer het met Gmail is verbonden, als reactie privé-e-mails lekt. Ja, er zijn specifieke randvoorwaarden — je moet de verbinding tussen de AI en Gmail tot stand brengen, en Google Agenda zo intensief gebruiken dat een onbekende uitnodiging erin kan belanden — maar dergelijke patronen hebben de neiging zich te ontwikkelen om het bereik van de aanval uit te breiden, dus het is het beste om precies te weten wat er gebeurt en hoe je jezelf kunt beschermen. Lees verder voor beide toelichtingen.
Kwaadaardige Google Agenda-uitnodigingen: wat zit er onder de motorkap
Het wapen hier heet “indirecte prompt-injecties.” Ze maken misbruik van de grondigheid van AI door kwaadaardige instructies in te voegen in externe gegevens die door het model worden verwerkt, waaronder websites, e-mails, agendauitnodigingen of documenten. In het geval van Google Agenda-uitnodigingen en de integratie van ChatGPT met Gmail nam de AI de uitnodiging aan, zoals de bedoeling was, en werd het misleid om e-mails prijs te geven (zodra het verbonden is, heeft het toegang tot veel gegevens) door commando's die in die uitnodigingen verborgen waren.
De term “prompt-injectie” werd in 2022 gemunt door Simon Willison; de onderzoeker beschreef hoe kwaadwillenden AI's instructies zouden kunnen geven op ongeveer dezelfde manier als SQL-injecties. “Indirecte prompt-injecties” verbergen, zoals de naam al aangeeft, die commando's onder een laag ogenschijnlijk onschuldige inhoud. De term zelf wordt toegeschreven aan Kai Greshake en het NVIDIA-team, die het aanvalspatroon formaliseerden en er in 2025 verdedigingsstrategieën tegen beschreven.
Hoe bescherm je jezelf tegen aanvallen met indirecte prompt-injecties?
Het heeft geen zin om kunstmatige intelligentie volledig te mijden: vandaag kun je misschien de gewenste isolatie bereiken, maar morgen zullen grote taalmodellen aan de kant van de aanbieder in diensten zijn geïntegreerd en is er simpelweg geen manier meer om ze van je accounts los te koppelen. Sterker nog, je zult niet eens weten dat de koppeling er is. Dus, wat kun je doen om je gegevens af te schermen?
- Waakzaamheid. Allereerst moet je waakzaam blijven en nooit iets verdachts toelaten tot je agenda of een ander systeem dat voor dit of dat doel op AI steunt.
- Orde. Houd de boel opgeruimd. Als je ChatGPT niet echt nodig hebt om je met e-mails te helpen, schakel het dan uit. Misschien heb je de functie geprobeerd, vond je die zelfs prettig, maar als er geen praktische toepassing voor is — aarzel niet, en schuif het niet op de lange baan.
- Beperkingen. Ook nu kunnen AI-integraties worden aangepast zodat je meer controle hebt over waar het model mee werkt en onder welke voorwaarden het toegang tot de gegevens kan krijgen. Overweeg om alle automatische routines uit te schakelen. Ja, dat levert extra handmatige goedkeuringen op, maar zo is het veiliger.
- Bestaande waarborgen. In Google Agenda kun je bijvoorbeeld instellen dat uitnodigingen alleen van bekende afzenders worden toegestaan. Dit is een veiligheidsmaatregel; gebruik zulke maatregelen waar mogelijk.
OpenAI erkende het probleem en stelde voor connectoren uit te schakelen. Het bedrijf werkt aan verdedigingen tegen dergelijke aanvallen, maar het is een wapenwedloop tussen schild en zwaard, dus het is logisch om een toekomstgerichte beveiligingssuite aan te schaffen. Vind er hier een:
