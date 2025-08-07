O asistentu Gemini, který je snadno přístupný v telefonu, jste určitě již slyšeli. Ulehčuje nám život – ovládá za nás aplikace v telefonu nebo chytrou domácnost, zjišťuje, co potřebujeme, radí, pomáhá a mnoho dalšího. Hackeři se však zaměřili na to, jak jej lze zneužít, a překvapivě to šlo velmi snadno. Stačilo poslat „šikovně napsanou" pozvánku na událost do kalendáře, a když ji Gemini načetl (protože jste se ho zeptali, co máte dnes v plánu), mohlo se stát naprosto cokoliv.
Pouhé poděkování mohlo spustit v Gemini spoustu akcí. Stačilo jen do kalendáře uložit pozvánku s událostí
Google bere tuto zranitelnost velmi vážně a chyby opravil, tento případ však ukazuje, že AI modely budou muset do budoucna klást daleko větší důraz na bezpečnost a soukromí. Zejména v případech, kdy mají v telefonu přístup k našim citlivým informacím.
Jak útok fungoval
Ukázalo se, že při pokusu o „hackování“ generativních AI modelů nikdo nepotřeboval žádné speciální znalosti. Tým bezpečnostních expertů pouze Gemini naučil, aby při vyslovení určité často používané fráze (třeba u běžného poděkování, které může poskytovatele AI vyjít hodně draho) vykonal určitou sadu úkonů nebo změnil své chování.
Útočníci Gemini podstrčili instrukce v pozvánce na událost do kalendáře ve formě běžného promptu, protože zde nebyla žádná ochrana ani kontrola. Stačilo tedy přijmout pozvánku a pak se při aktivaci Gemini v mobilu mohlo stát naprosto cokoliv.
Z některých ukázek až mrazí. Útočníci mohli Gemini podstrčit informaci, aby neustále ke každé odpovědi přidával odkaz na podvodnou stránku. V dalším demu měl místo slušné reakce uživatele urazit. Poděkováním mohlo dojít k nechtěnému ovládání zařízení chytré domácnosti – například k zapnutí topení nebo k vysunutí chytrých rolet.
Poděkování Gemini vysune chytré rolety:
Když jste v telefonu vybrali událost v kalendáři, Gemini místo ní mohl otevřít webovou stránku nebo přímo aplikaci v telefonu, například Zoom. Útočníci mohli prostřednictvím Gemini zjistit třeba i předmět některého z e-mailů a tuto informaci si uložit na svůj server. Jak to vypadá v praxi, ukazuje toto video. Přes „kalendářový prompt“ mohlo dojít i ke smazání náhodné události z kalendáře, ke stažení předem zvoleného souboru nebo k určení polohy uživatele.
Google se sice ujišťuje, že jsou již všechny nedostatky opraveny, pravděpodobně však ještě nějakou dobu potrvá, než budeme moci různým AI asistentům bezmezně důvěřovat. Otázkou zůstává, kolik podobných zranitelností u AI asistentů stále existuje a kolik z nich může být podobně zneužito.