Los piratas informáticos podrían aprovechar esta laguna en los resúmenes de correo de Géminis para realizar ataques de phishing

Google añadió los resúmenes de correo habilitados por Gemini en Gmail a finales de mayo para ayudar a los usuarios a obtener un resumen conciso sin tener que peinar párrafos de texto. Sin embargo, un fallo de Géminis podría permitir a los piratas informáticos lanzar un ataque de phishing de inyección de mensajes a un usuario, especialmente a aquellos que se han vuelto dependientes de los resúmenes de IA para sus flujos de trabajo de correo electrónico.

Identificado por el investigador Marco Figueroa, el GenAI Bug Bounty Programs Manager en Mozilla, el correo electrónico problemático parecería cualquier otro correo aleatorio lleno de texto, pero podría esconder una estafa de phishing que Gemini no identificaría. Las instrucciones maliciosas pueden ocultarse dentro del cuerpo del texto o justo después de comprarlas cambiándolas a tamaño de fuente 0 y color blanco, haciéndolas invisibles. Sin embargo, Géminis seguiría analizando esa parte del correo y seguiría las instrucciones que contenga.

Como ejemplo, Figueroa ocultó un mensaje de advertencia para Géminis sobre que la contraseña de Gmail del usuario estaba comprometida junto con un número de teléfono de asistencia. Al resumirlo, la IA mostró la advertencia al final y la llamada a la acción para llamar inmediatamente al número de teléfono de soporte. Aunque no todo el mundo se dejaría engañar por este mensaje, algunos podrían seguirlo por miedo a que su cuenta se viera comprometida.