Bericht: Google will Sicherheitslücke für ASCII-Smuggling-Angriffe in Gemini nicht schließen

Google hat laut einem Bericht entschieden, die Anfälligkeit von Gemini gegen ASCII-Smuggling-Angriffe nicht zu beheben. Solche Attacken könnten dazu verwendet werden, den KI-Assistenten dazu zu bringen, Benutzern falsche Informationen bereitzustellen. Außerdem könnte das Modellverhalten geändert und dessen Daten manipuliert werden.

 Anzeige

ASCII-Smuggling ist ein Angriff, bei dem spezielle Zeichen aus dem Tags-Unicode-Block eingesetzt werden, um bestimmte Payloads einzuschleusen. Diese Payloads sind für Benutzer unsichtbar. Große Sprachmodelle (LLMs) können sie jedoch erkennen und verarbeiten.

Die Anfälligkeit von LLMs für ASCII-Smuggling ist nicht neu. Der Grad des Risikos ist aber nun anders. Agentische KI-Tools wie Gemini haben weitreichenden Zugriff auf sensible Benutzerdaten und können Aufgaben autonom ausführen. Das erhöht die Risiken.

Gemini (über Kalendereinladungen oder E-Mails), DeepSeek (Eingabeaufforderungen) und Grok (X-Beiträge) erwiesen sich im Test als anfällig für das Problem. Im Gegensatz sind Claude, ChatGPT und Microsoft CoPilot eher sicher, weil sie eine Form der Input-Bereinigung implementieren.

Die Integration von Gemini in Google Workspace stellt ein hohes Risiko dar. Angreifer könnten ASCII-Smuggling nutzen, um versteckten Text in Kalendereinladungen oder E-Mails einzubetten. Bei Kalendereinladungen ist es möglich, Anweisungen im Titel zu verbergen. Auch das Überschreiben von Details zum Organisator (Identitätsfälschung) und das Einschleusen von versteckten Besprechungsbeschreibungen oder Links ist möglich.

Für Benutzer, die LLMs mit ihren Posteingängen verbunden haben, kann eine einfache E-Mail mit versteckten Befehlen das LLM anweisen, den Posteingang nach sensiblen Elementen zu durchsuchen oder Kontaktdaten zu senden. Das macht einen standardmäßigen Phishing-Versuch zu einem Werkzeug zur autonomen Datenextraktion. LLMs, die angewiesen werden, Websites zu durchsuchen, können auch auf versteckte Payloads in Produktbeschreibungen stoßen und Benutzern bösartige URLs übermitteln.

Viktor Markopoulos von FireTail meldete die Ergebnisse am 18. September an Google. Das Unternehmen wies das Problem laut einem Bericht jedoch zurück. Google stufte das laut Bericht nicht als Sicherheitslücke ein. Google argumentiert, diese Lücke könne nur im Kontext von Social-Engineering-Angriffen ausgenutzt werden. Markopoulos zeigte jedoch, dass der Angriff Gemini täuschen kann, um Benutzern falsche Informationen zu liefern. In einem Beispiel verarbeitete Gemini eine unsichtbare Anweisung, um eine potenziell bösartige Website als Ort für ein Telefon mit Rabatt darzustellen.

Andere Technologieunternehmen haben eine andere Perspektive auf diese Art von Problemen. Amazon veröffentlichte zum Beispiel detaillierte Sicherheitshinweise zum Thema Unicode-Zeichenschmuggel.