Când un asistent AI răspunde la întrebări despre program, senzația este că primești un rezumat „curat”, extras dintr-un calendar care îți aparține în mod obișnuit. Însă, odată ce AI-ul are permisiunea să citească evenimente și să execute acțiuni în numele tău (de exemplu, să creeze evenimente noi), pot apărea scenarii în care un infractor poate utiliza limbajul ca instrument de manipulare. Aceasta nu mai seamănă cu phishingul clasic, în care ești îndemnat să dai clic; devine o capcană ascunsă în context, activată atunci când formulezi o întrebare simplă.
Pe 19 ianuarie 2026, specialiști în securitate au identificat o vulnerabilitate bazată pe atacuri indirecte de tip prompt injection, vizând Google Gemini și utilizând Google Calendar ca mecanism de extragere a datelor. În esență, un atacator putea ascunde un „cod malițios” în descrierea unei invitații de calendar. În momentul în care utilizatorul adresa întrebări simple despre întâlnirile zilnice, AI-ul era determinat să execute instrucțiunile ascunse, încălcând anumite restricții de autorizare și transformând calendarul într-un canal de scurgere a informațiilor. Problema a fost remediată după procesul de raportare responsabilă, însă lecția rămâne: când AI-ul devine interfața cu datele private, riscurile de vulnerabilitate se amplifică în mod surprinzător.
Totul începea cu o invitație la un eveniment, trimițută de un atacator către țintă. Invitația părea normală la prima vedere: un titlu, o dată, posibil o locație și o descriere. Diferența consta în conținutul descrierii, unde atacatorul includea un text formulat ca o instrucțiune în limbaj natural, menită să „convingă” modelul să execute o acțiune nedorită. Aceasta reprezintă esența atacului indirect de tip prompt injection: nu îi spui direct asistentului „fă X”, ci ascunzi „X” într-un loc pe care AI-ul îl va citi ulterior ca parte a contextului.
Momentul esențial era activarea. Atacul nu depindea de click-uri pe linkuri sau descărcări de fișiere, ci se activa atunci când puneai AI-ului Gemini întrebări obișnuite despre program, precum „Am întâlniri marți?” sau „Ce urmează azi?”. În loc să ofere simplu un rezumat al întâlnirilor zilei, modelul ajungea să „ascult” instrucțiunea mascată din invitația malițioasă. Ca exemplu, Gemini putea crea un eveniment nou în calendar și să adauge în descrierea acestuia un rezumat detaliat al întâlnirilor private, răspunzând apoi cu un mesaj aparent inofensiv, fără a indica că s-a produs o acțiune neobișnuită.
De ce este periculos: calendarul devine canal de exfiltrare a datelor
În multe organizații, calendarele nu sunt complet „restricționate”. Există setări de vizibilitate, partajare între colegi, resurse comune, delegări sau politici care permit anumite niveluri de acces la evenimente. În astfel de medii, un eveniment nou creat poate deveni vizibil altor persoane sau chiar expeditorului original, în funcție de configurație. Problema constă în faptul că nu neapărat AI-ul „a citit” întâlnirile tale, ci s-a lăsat manipulat să le copieze într-un spațiu accesibil altor utilizatori.
Acest lucru diferențiază atacul de scurgerile de date tradiționale. Nu este necesar să spargi contul victimă sau să-i furi parola. Se profită de faptul că modelul are acces legitim la calendarul tău (deoarece ai permis) și îl determină să mute informația dintr-un spațiu privat într-unul mai expus. În plus, faptul că răspunsurile rămân aparent inofensive reduce posibilele semne de alertă. Dacă nu verifici calendarul după o întrebare, poți să nu observi crearea unui eveniment nedorit cu conținut sensibil în descriere.
Un alt aspect subtil îl reprezintă faptul că astfel de vulnerabilități nu apar doar în cod, ci și în modul în care modelul interpretează limbajul și contextul în timpul execuției. Chiar dacă există reguli și măsuri de protecție, acestea pot fi ocolite dacă instrucțiunea malițioasă este prezentată ca parte normală a datelor. Atațatorii găsesc astfel metode mai ușoare pentru a manipula sistemele, formulând text manipulator în loc să exploateze vulnerabilități tehnice clasice.
Măsuri concrete pentru utilizatori și organizații
În primul rând, tratează invitațiile de calendar ca pe un conținut extern, nu ca pe simple notificări. Verifică expeditorul și contextul: dacă primești invitații de la adrese necunoscute sau din exteriorul organizației, nu le ignora doar pentru că par inofensive. Analizează descrierea pentru semne de text nenatural: instrucțiuni lungi, formulări ca pentru un chatbot, solicitări de tipul „ignoră regulile”, „rezumă tot” sau „scrie într-un eveniment nou”.
În al doilea rând, când utilizezi un asistent AI conectat la calendar, limitează solicitările la întrebări precise și relevante, cum ar fi „Care e următoarea întâlnire?” sau „Ce evenimente am astăzi?”. După fiecare interogare, verifică dacă au fost create evenimente neașteptate. În cazul în care observi activități suspecte, șterge-le și ajustează setările de vizibilitate. În mediile enterprise, limitează partajarea evenimentelor, controlează cine poate invita persoane din afara organizației și stabiliți politici stricte pentru acțiuni automate, precum crearea de evenimente sau modificări în descrieri, solicitând aprobări sau înregistrări detaliate ale acestor acțiuni.
De ce vei mai auzi despre prompt injection și „agentii” AI
Povestea reflectă o evoluție: AI nu mai este doar un instrument de generare de text, ci devine un agent care citeste din aplicații și acționează în acestea. Când modelul poate modifica calendarul, trimite e-mailuri, edita documente sau iniția automatizări, orice câmp de text devine o potențială zonă de influență. Atacatorii caută aceste breșe semantice, fiind dificil de detectat cu filtre clasice, motiv pentru care devin tot mai preocupanți de exploatarea acestora.
Chiar dacă vulnerabilitatea prezentată a fost rezolvată, este esențial să adopți o atitudine preventivă: nu considera niciodată conținutul extern ca sigur doar pentru că este în formă textuală. Într-o lume în care asistenții AI pot acționa, textul devine adesea o instrucțiune, iar această instrucțiune poate deveni o acțiune. Păstrează obiceiurile de igienă digitală, verifică invitațiile, limitează partajările, folosește întrebări specifice și monitorizează modificările din calendar pentru a reduce semnificativ riscul de escrocherii de tip prompt injection.