Des chercheurs en cybersécurité ont révélé les détails d'une faille de sécurité qui exploite l'injection indirecte ciblant Google Gemini comme moyen de contourner les barrières d'autorisation et d'utiliser Google Agenda comme mécanisme d'extraction de données.
Selon Liad Eliyahu, responsable de la recherche chez Miggo Security, cette vulnérabilité a permis de contourner les contrôles de confidentialité de Google Calendar en cachant une charge utile malveillante inactive dans une invitation de calendrier standard.
“Ce contournement a permis un accès non autorisé aux données de réunions privées et la création d'événements de calendrier trompeurs sans aucune interaction directe de l'utilisateur”, a déclaré Eliyahu dans un rapport partagé avec The Hacker News.
Le point de départ de la chaîne d’attaque est un nouvel événement de calendrier créé par l’acteur menaçant et envoyé à une cible. La description de l'invitation intègre un message en langage naturel conçu pour suivre vos commandes, ce qui entraîne une injection rapide.
L'attaque est déclenchée lorsqu'un utilisateur pose à Gemini une question totalement inoffensive sur son emploi du temps (par exemple, ai-je des réunions prévues pour mardi ?), ce qui amène le chatbot d'intelligence artificielle (IA) à analyser le message spécialement conçu dans la description de l'événement susmentionné pour résumer toutes les réunions des utilisateurs pour un jour spécifique, ajouter ces données à un événement Google Calendar nouvellement créé, puis renvoyer une réponse inoffensive à l'utilisateur.
“Cependant, en coulisses, Gemini a créé un nouvel événement de calendrier et a rédigé un résumé complet des réunions privées de notre utilisateur cible dans la description de l'événement”, a déclaré Miggo. « Dans de nombreuses configurations de calendrier d'entreprise, le nouvel événement était visible pour l'attaquant, lui permettant de lire les données privées exfiltrées sans que l'utilisateur ciblé n'agisse. »
Bien que le problème ait depuis été résolu suite à une divulgation responsable, les résultats illustrent une fois de plus que les fonctionnalités natives de l’IA peuvent élargir la surface d’attaque et introduire par inadvertance de nouveaux risques de sécurité, à mesure que de plus en plus d’organisations utilisent des outils d’IA ou créent leurs propres agents en interne pour automatiser les flux de travail.
“Les applications d'IA peuvent être manipulées via le même langage pour lequel elles ont été conçues”, a déclaré Eliyahu. “Les vulnérabilités ne se limitent plus au code. Elles résident désormais dans le langage, le contexte et le comportement de l'IA au moment de l'exécution.”
Cette divulgation intervient quelques jours après que Varonis a détaillé une attaque appelée Reprompt qui aurait pu permettre à des adversaires d'exfiltrer des données sensibles de chatbots d'intelligence artificielle (IA) comme Microsoft Copilot en un seul clic, tout en contournant les contrôles de sécurité de l'entreprise.
Les résultats illustrent la nécessité d’évaluer constamment les grands modèles de langage (LLM) sur des dimensions de sécurité clés, en testant leur penchant pour les hallucinations, l’exactitude factuelle, les biais, les dommages et la résistance au jailbreak, tout en protégeant les systèmes d’IA des problèmes traditionnels.
La semaine dernière, XM Cyber du groupe Schwarz a révélé de nouvelles façons d'augmenter les privilèges au sein d'Agent Engine et Ray de Google Cloud Vertex AI, soulignant la nécessité pour les entreprises d'auditer chaque compte de service ou identité attaché à leurs charges de travail d'IA.
« Ces vulnérabilités permettent à un attaquant disposant d'autorisations minimales de détourner des agents de service hautement privilégiés, transformant ainsi ces identités gérées « invisibles » en « agents doubles » qui facilitent l'élévation des privilèges », ont déclaré les chercheurs Eli Shparaga et Erez Hasson.
Une exploitation réussie des failles du double agent pourrait permettre à un attaquant de lire toutes les sessions de discussion, de lire les mémoires LLM et de lire des informations potentiellement sensibles stockées dans des compartiments de stockage ou d'obtenir un accès root au cluster Ray. Alors que Google déclare que les services « fonctionnent actuellement comme prévu », il est essentiel que les organisations examinent les identités à l'aide de la fonctionnalité Viewer et s'assurent que des contrôles adéquats sont en place pour empêcher l'injection de code non autorisée.
Ce développement coïncide avec la découverte de multiples vulnérabilités et faiblesses dans différents systèmes d’IA.
- Des failles de sécurité (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 et CVE-2026-0616) dans The Librarian, un outil d'assistance personnelle alimenté par l'IA fourni par TheLibrarian.io, permettent à un attaquant d'accéder à son infrastructure interne, y compris la console d'administrateur et l'environnement cloud, et finalement de divulguer des informations sensibles telles que les métadonnées cloud, d'exécuter des processus dans le backend. et l'invite du système, ou connectez-vous à votre système backend interne.
- Une vulnérabilité démontrant comment les invites du système peuvent être extraites des participants LLM basés sur l'intention en leur demandant d'afficher des informations au format codé en Base64 dans les champs de formulaire. “Si un LLM peut exécuter des actions qui écrivent dans n'importe quel champ, enregistrement, entrée de base de données ou fichier, chacun devient un canal d'exfiltration potentiel, quel que soit le blocage de l'interface de discussion”, a déclaré Praetorian.
- Une attaque démontrant comment un plugin malveillant téléchargé sur une place de marché Anthropic Claude Code peut être utilisé pour contourner les protections humaines via des hooks et exfiltrer les fichiers d'un utilisateur via une injection indirecte.
- Une vulnérabilité critique dans Cursor (CVE-2026-22708) permet l'exécution de code à distance via une injection d'avertissement indirecte en exploitant une surveillance critique de la manière dont les IDE d'agent gèrent les commandes shell intégrées. “En abusant des fonctions intégrées implicitement fiables du shell telles que l'exportation, la composition et la déclaration, les acteurs malveillants peuvent manipuler silencieusement des variables d'environnement qui empoisonnent ensuite le comportement des outils de développement légitimes”, a déclaré Pillar Security. “Cette chaîne d'attaque convertit les commandes bénignes et approuvées par l'utilisateur, telles que git branch ou python3 script.py, en vecteurs d'exécution de code arbitraire.”
Une analyse de sécurité de cinq IDE de codage Vibe, à savoir. Cursor, Claude Code, OpenAI Codex, Replit et Devin, qui ont trouvé des agents d'encodage, sont efficaces pour prévenir les injections SQL ou les failles XSS, mais ont du mal à gérer les problèmes SSRF, la logique métier et à appliquer les autorisations appropriées lors de l'accès aux API. Pour aggraver les choses, aucun des outils n'incluait la protection CSRF, les en-têtes de sécurité ou la limitation du taux de connexion.
Le test met en évidence les limites actuelles du codage vibratoire et montre que la supervision humaine reste essentielle pour combler ces lacunes.
“On ne peut pas faire confiance aux agents codeurs pour concevoir des applications sécurisées”, a déclaré Ori David de Tenzai. Même s’ils peuvent produire du code sécurisé (parfois), les agents ne parviennent systématiquement pas à mettre en œuvre des contrôles de sécurité critiques sans conseils explicites. Lorsque les limites ne sont pas claires (flux de travail de logique métier, règles d’autorisation et autres décisions de sécurité nuancées), les agents commettent des erreurs.
