Zaproszenia z kalendarza i integracja Gmaila z ChatGPT: wzorzec ataku
12 września 2025 r. badacz bezpieczeństwa Eito Miyamura zaprezentował eksploit, który być może jest pierwszym, ale z pewnością nie ostatnim w swoim rodzaju: złośliwy Kalendarz Google wstrzykuje instrukcje do ChatGPT, które po połączeniu z Gmailem powodują wyciek prywatnych wiadomości e-mail. Owszem, istnieją konkretne warunki wstępne — musisz zestawić połączenie między AI a Gmailem i korzystać z Kalendarza Google na tyle intensywnie, aby nieznane zaproszenie mogło się do niego przedostać — jednak takie schematy mają tendencję do ewolucji w kierunku poszerzania zasięgu ataku, więc warto wiedzieć, co dokładnie się dzieje i jak możesz się chronić. Czytaj dalej, aby poznać oba aspekty.
Złośliwe zaproszenia w Kalendarzu Google: co kryje się pod maską
Użyta tu broń nazywa się “pośrednie wstrzyknięcia promptów.” Wykorzystują one skrupulatność AI, wprowadzając złośliwe instrukcje do danych zewnętrznych przetwarzanych przez model, takich jak strony internetowe, e-maile, zaproszenia kalendarza czy dokumenty. W przypadku zaproszeń z Kalendarza Google i integracji ChatGPT z Gmailem AI przyjęła zaproszenie, jak powinna, i została skłoniona do ujawnienia wiadomości e-mail (po połączeniu ma dostęp do wielu rzeczy) przez polecenia ukryte w tych zaproszeniach.
Termin “prompt injection” został ukuty przez Simona Willisona w 2022 roku; badacz opisał, w jaki sposób złośliwi sprawcy mogą przekazywać instrukcje systemom AI w podobny sposób jak przy wstrzyknięciach SQL. “Indirect prompt injections,” jak sama nazwa wskazuje, ukrywają te polecenia pod warstwą materiału wyglądającego na bezpieczny. Sam termin przypisuje się Kaiowi Greshake’owi oraz zespołowi NVIDIA, którzy w 2025 roku sformalizowali wzorzec ataku i opisali strategie obrony przed nim.
Jak chronić się przed atakami z wykorzystaniem pośrednich wstrzyknięć promptów?
Nie ma sensu próbować całkowicie powstrzymywać się od korzystania ze sztucznej inteligencji: dziś może uda ci się osiągnąć pożądaną izolację, ale jutro duże modele językowe zostaną zintegrowane po stronie dostawcy usług i po prostu nie będzie sposobu, by odłączyć je od twoich kont. Co więcej, nawet nie będziesz wiedzieć, że takie połączenie istnieje. Co zatem możesz zrobić, by chronić swoje zasoby?
- Czujność. Przede wszystkim zachowuj czujność i nigdy nie dopuszczaj do swojego kalendarza ani innego systemu wykorzystującego AI niczego podejrzanego.
- Porządek. Utrzymuj porządek. Jeśli naprawdę nie potrzebujesz pomocy ChatGPT przy e-mailach, wyłącz ją. Możesz przetestować tę funkcję, mogła ci się nawet spodobać, ale jeśli nie masz dla niej realnego zastosowania — nie zwlekaj i nie odkładaj tego na później.
- Ograniczenia. Już dziś integracje AI można dostosować tak, by dać ci większą kontrolę nad tym, z czym model pracuje i w jakich warunkach może uzyskiwać dostęp do danych. Rozważ wyłączenie wszystkich automatycznych procedur. Tak, doda to ręczne zatwierdzenia, ale tak jest bezpieczniej.
- Istniejące zabezpieczenia. W Kalendarzu Google możesz na przykład ustawić przyjmowanie zaproszeń wyłącznie od znanych nadawców. To jest zabezpieczenie; korzystaj z takich, kiedy tylko to możliwe.
OpenAI potwierdziło problem i zasugerowało wyłączenie konektorów. Firma pracuje nad obroną przed takimi atakami, ale to wyścig tarczy z mieczem, więc warto zaopatrzyć się w proaktywny pakiet zabezpieczeń. Znajdź go tutaj:
