كاليفورنيا – سويفت نيوز:
يمكن استغلال المساعد الذكي “Gemini” المتاح عبر حزمة خدمات وأدوات الإنتاجية “Workspace” من شركة غوغل لإنشاء ملخصات بريد إلكتروني تبدو شرعية، لكنها تتضمن تعليمات أو تحذيرات خبيثة تُوجّه المستخدمين إلى مواقع تصيد احتيالي دون الحاجة لاستخدام مرفقات أو روابط مباشرة داخل الرسالة.
ويعتمد هذا النوع من الهجوم على حقن أوامر غير مباشرة مخفية داخل رسائل بريد إلكتروني، ويقوم “Gemini” بتنفيذها عند إنشائه ملخص للرسائل دون إدراك المستخدم.
وعلى الرغم من الإبلاغ عن هجمات مماثلة منذ عام 2024، وتطبيق آليات حماية لمنع الاستجابة لهذه الأوامر الخبيثة، فإن هذه التقنية لا تزال ناجحة، بحسب تقرير لموقع “Bleeping Computer” المتخصص في أخبار التكنولوجيا.
وتتضمن العملية إنشاء رسالة بريد إلكتروني تحتوي على تعليمات خبيثة غير مرئية موجهة إلى “Gemini”.
ويمكن للمهاجم إخفاء التعليمات الضارة في نص الرسالة باستخدام أكواد “HTML” و”CSS”، حيث يتم ضبط حجم الخط على صفر ولونه على الأبيض، مما يجعله غير مرئي للمستخدم، لكن “Gemini” يقرأه وينفذ ما فيه من تعليمات عندما يقوم بإنشاء ملخص لرسالة البريد الإلكتروني.
ولن تُعرض التعليمات الخبيثة داخل واجهة “Gmail”، ونظرًا لعدم وجود مرفقات أو روابط، فمن المرجح جدًا أن تصل الرسالة إلى صندوق الرسائل الواردة للهدف المحتمل.
وإذا فتح المستلم البريد الإلكتروني وطلب من “Gemini” إنشاء ملخص للرسالة، فستقوم أداة الذكاء الاصطناعي بتحليل التعليمات غير المرئية الموجودة في الرسالة وتنفيذها.
