O breșă de tip prompt injection în Google Gemini a expus date private din Calendar prin invitații malițioase

Când un asistent AI îți răspunde la întrebări despre program, senzația e că primești un rezumat „curat”, scos dintr-un calendar care oricum îți aparține. Doar că, odată ce AI-ul are voie să citească evenimente și să facă acțiuni în numele tău (de exemplu, să creeze evenimente noi), apar scenarii în care un atacator poate folosi chiar limbajul ca instrument de manipulare. Asta nu mai seamănă cu phishingul clasic, în care ești împins să dai click; seamănă cu o capcană care stă ascunsă în context și se activează atunci când pui o întrebare banală.

Pe 19 ianuarie 2026, cercetători în securitate au descris o vulnerabilitate bazată pe indirect prompt injection, care viza Google Gemini și folosea Google Calendar ca mecanism de extragere a datelor. În esență, un atacator putea ascunde un „payload” în descrierea unei invitații de calendar. Apoi, când tu îl întrebai pe Gemini ceva inocent despre întâlnirile tale, AI-ul ajungea să execute instrucțiunile ascunse, ocolind anumite bariere de autorizare și transformând calendarul într-un canal de scurgere a informației. Problema a fost remediată după raportare responsabilă, însă lecția rămâne: când AI-ul devine interfață între tine și datele tale, suprafața de atac crește în moduri neașteptate.

Totul începea cu o invitație la un eveniment nou, trimisă de atacator către țintă. Invitația arăta normal la prima vedere: un titlu, o dată, poate o locație și o descriere. Diferența era în descriere, unde atacatorul introducea un text formulat ca o instrucțiune în limbaj natural, gândită să „convingă” modelul să facă ceva ce nu ar trebui să facă. Aceasta e esența indirect prompt injection: nu îi spui direct asistentului „fă X”, ci ascunzi „X” într-un loc pe care asistentul îl va citi ulterior ca parte din context.

Partea critică era momentul activării. Atacul nu depindea de un click pe un link sau de descărcarea unui fișier. Se activa atunci când tu îi puneai lui Gemini o întrebare obișnuită despre program, de tipul „am ședințe marți?” sau „ce urmează azi?”. În loc să rezume strict întâlnirile zilei, modelul ajungea să „asculte” instrucțiunea mascată din invitația malițioasă. Conform demonstrației, rezultatul putea fi un comportament înșelător: Gemini crea un eveniment nou în calendar și scria în descrierea acelui eveniment un rezumat detaliat al întâlnirilor tale private, apoi îți răspundea ție cu un mesaj aparent inofensiv, ca și cum nimic neobișnuit nu s-ar fi întâmplat.

Vezi și:

Cum funcționează drona marină MAGURA V5. Este una dintre cele mai avansate arme navale și poate parcurge până la 800 de kilometri

De ce e periculos: calendarul devine canal de exfiltrare

În multe organizații, calendarele nu sunt complet „închise”. Există setări de vizibilitate, partajare între colegi, resurse comune, delegare, invitații externe, sau politici care permit anumite niveluri de acces la evenimente. Într-un astfel de mediu, un eveniment nou creat automat poate ajunge să fie vizibil altor persoane sau chiar expeditorului inițial, în funcție de configurație. Așa apare problema: nu neapărat faptul că AI-ul a „citit” întâlnirile tale, ci faptul că a fost convins să le copieze într-un loc de unde pot fi citite de altcineva.

Asta face atacul diferit de scurgerile clasice de date. Nu e nevoie să spargi contul victimei și nici să îi furi parola. Profită de faptul că modelul are acces legitim la calendarul tău (pentru că tu i-ai permis), iar apoi îl determină să mute informația dintr-un context privat într-un obiect nou, potențial mai expus. În plus, faptul că răspunsul către tine rămâne „cuminte” reduce șansele să observi imediat. Dacă nu verifici calendarul după interogare, poți să nu-ți dai seama că s-a creat ceva nou, cu un conținut sensibil în descriere.

Mai există un aspect subtil: vulnerabilitățile de acest tip nu „trăiesc” doar în cod, ci în felul în care modelul interpretează limbajul și contextul la runtime. Cu alte cuvinte, chiar dacă sistemul are reguli și garduri de protecție, ele pot fi ocolite când instrucțiunea malițioasă e prezentată drept „parte din date”. Pentru atacatori, asta e atractiv: e mai ușor să formulezi text manipulator decât să găsești un exploit clasic într-o componentă software.

Vezi și:

HONOR lansează în România tableta cu autonomie de până la 97 de zile în standby. Noua HONOR Pad X8b vine cu ecran de 11 inch, Android 16 și funcții AI

Gemini primește voci noi și un design actualizat. Ce schimbări aduce cel mai recent update Google

Ce măsuri practice poți lua, ca utilizator sau ca organizație

În primul rând, tratează invitațiile de calendar ca pe un tip de conținut extern, nu ca pe o simplă notificare. Uită-te la expeditor și la context: dacă primești invitații de la adrese necunoscute sau din afara organizației, nu le lăsa să stea „acolo” doar pentru că par inofensive. Deschide descrierea și caută semne de text nenatural: instrucțiuni lungi, formulări care par să vorbească cu un chatbot, cerințe de tip „ignorează regulile”, „rezumă tot”, „scrie într-un eveniment nou” sau orice seamănă cu un set de comenzi.

În al doilea rând, când folosești un asistent AI integrat cu calendarul, nu-i cere mai mult decât ai nevoie. Dacă vrei să reduci riscul, pune întrebări punctuale („care e următoarea întâlnire?”) în loc de solicitări exhaustive („rezumă toate ședințele și detaliile”). Apoi fă-ți un obicei să verifici rapid dacă s-au creat evenimente noi neașteptate după o interogare. Dacă observi evenimente dubioase, șterge-le și schimbă setările de vizibilitate, iar într-un context de companie anunță echipa de securitate.

Dacă administrezi un mediu de tip enterprise, concentrează-te pe politicile de partajare: limitează pe cât posibil vizibilitatea evenimentelor către externi, controlează cine poate invita din afara organizației și ce se întâmplă cu evenimentele create automat de aplicații sau de asistenți AI. Setează reguli clare despre ce integrare AI e permisă și în ce condiții, iar acolo unde se poate, impune aprobări sau logare detaliată pentru acțiuni precum „creare de evenimente” sau „scriere în descrieri”.

De ce o să mai auzi despre prompt injection și „agenți” AI

Povestea aceasta e un simptom al unei tranziții: AI-ul nu mai e doar un instrument care îți dă text, ci un agent care citește din aplicații și acționează în ele. În momentul în care modelul poate scrie în calendar, trimite mailuri, edita documente sau porni automatizări, orice câmp de text devine o potențială zonă de influență. Iar atacatorii sunt motivați să caute exact aceste breșe „semantice”, pentru că sunt greu de detectat cu filtre tradiționale.

Chiar dacă vulnerabilitatea descrisă a fost rezolvată, e util să păstrezi un principiu simplu: nu considera niciodată conținutul extern drept sigur doar pentru că e „text”. Într-o lume cu asistenți AI, textul poate deveni instrucțiune, iar instrucțiunea poate deveni acțiune. Dacă îți păstrezi reflexele de igienă digitală – verifici invitațiile, limitezi partajarea, folosești întrebări specifice și îți monitorizezi calendarul pentru schimbări neașteptate – reduci mult șansa ca o capcană de acest tip să te prindă nepregătit.

Bitcoin se prăbușește, iar piața cripto pierde trilioane de dolari. Legătura cu febra AI