Приглашения в календаре и интеграция Gmail у ChatGPT: шаблон атаки
12 сентября 2025 года исследователь безопасности Эйто Миямура продемонстрировал эксплойт, который, возможно, первый, но точно не последний в своём роде: вредоносный Google Calendar внедряет инструкции в ChatGPT, который, будучи подключён к Gmail, в ответ раскрывает личные электронные письма. Да, есть определённые предпосылки — вам нужно установить соединение между ИИ и Gmail и пользоваться Google Calendar настолько активно, чтобы в него могло пробраться неизвестное приглашение, — но подобные схемы, как правило, эволюционируют, расширяя охват атаки, так что лучше понимать, что именно происходит и как можно защититься. Читайте дальше, чтобы узнать и то и другое.
Вредоносные приглашения в Google Calendar: что под капотом
Оружие здесь называется “косвенные инъекции промптов.” Они эксплуатируют обстоятельность ИИ, вставляя вредоносные инструкции во внешние данные, которые обрабатывает модель, включая веб‑сайты, письма, приглашения календаря или документы. В случае с приглашениями Google Calendar и интеграцией ChatGPT с Gmail ИИ принял приглашение, как и должен был, и был обманут на выдачу писем (после подключения у него есть доступ ко многому) командами, скрытыми в этих приглашениях.
Термин “prompt injection” был предложен Саймоном Уиллисоном в 2022 году; исследователь описал, как злоумышленники могут давать ИИ инструкции примерно так же, как это делают SQL‑инъекции. “Indirect prompt injections,” как следует из названия, скрывают эти команды под слоем внешне безопасного материала. Сам термин приписывается Каю Грешаке и команде NVIDIA, которые в 2025 году формализовали шаблон атаки и описали стратегии защиты от неё.
Как защититься от атак с использованием косвенных инъекций промптов?
Нет смысла пытаться полностью отказаться от использования искусственного интеллекта: сегодня вам может удаваться добиваться нужной изоляции, а завтра большие языковые модели будут интегрированы в сервисы на стороне провайдера, и у вас просто не будет способа отключить их от своих аккаунтов. Более того, вы даже не будете знать, что такое подключение есть. Итак, что вы можете сделать, чтобы оградить свои активы?
- Бдительность. Прежде всего сохраняйте бдительность и никогда не пропускайте ничего подозрительного в свой календарь или другую систему, которая для тех или иных целей опирается на ИИ.
- Порядок. Поддерживайте порядок. Если вам на самом деле не нужен ChatGPT для помощи с письмами, отключите его. Вы могли попробовать функцию, она даже могла понравиться, но если для неё нет реального сценария использования — не колебайтесь и не откладывайте.
- Ограничения. Уже сегодня интеграции с ИИ можно настроить так, чтобы у вас было больше контроля над тем, с чем работает модель и при каких условиях она может получать доступ к данным. Подумайте об отключении всех автоматических процедур. Да, это добавит ручные подтверждения в процесс, но так безопаснее.
- Имеющиеся средства защиты. В Google Calendar, например, можно настроить приём приглашений только от известных отправителей. Это защитная мера; используйте такие, где только возможно.
OpenAI признала проблему и предложила отключить коннекторы. Компания работает над защитами от таких атак, но это гонка щита и меча, так что имеет смысл обзавестись современным пакетом безопасности. Найдите его здесь:
