Introdução
Pesquisadores descreveram uma técnica chamada “GeminiJack” que permite exfiltração de dados sem interação do usuário através de prompt‑injection contra pipelines RAG em Google Gemini Enterprise (e versões anteriores do Vertex AI Search).
Descoberta e escopo / O que mudou agora
De acordo com o relatório, o vetor abusa de conteúdos inseridos em Docs compartilhados, eventos de Calendar e e‑mails para injetar instruções que fazem o sistema de recuperação-augmented generation (RAG) consultar dados sensíveis do Workspace e retornar respostas contendo esses dados. A exfiltração é feita por requisições de imagem escondidas que transmitem os resultados sem qualquer ação explícita do destinatário — caracterizando um fluxo zero‑click.
Vetor e exploração / Mitigações
A exploração se apoia em capacidades de RAG que mesclam buscas em fontes internas com geração de respostas. Ao manipular prompts em itens compartilhados, um ator consegue induzir Gemini a consultar documentos restritos e a enviar o conteúdo para endpoints controlados via meios aparentemente inocentes (por exemplo, imagens embutidas).
Como mitigação imediata, o relatório menciona que o Google separou serviços e endureceu o tratamento de instruções. Recomendações práticas incluídas na análise são:
- Restringir fontes que RAG pode consultar — evitar inclusão automática de documentos sensíveis como fontes de contexto;
- Monitorar e auditar requisições RAG e padrões de consulta fora do esperado;
- Classificar assistentes/instâncias de IA como processadores privilegiados de dados e aplicar controles de governança e logging equivalentes a serviços com acesso a dados sensíveis;
- Revisar permissões de compartilhamento em Docs e Calendar para reduzir a superfície de dados acessíveis via shares.
Impacto e alcance / Setores afetados
Setores que centralizam dados sensíveis em Workspace (jurídico, financeiro, saúde, governo) correm maior risco, sobretudo quando implementam RAG sem filtros de contexto e sem segmentação de dados. A técnica demonstra que a integração de modelos generativos com repositórios internos sem salvaguardas adequadas pode criar canais de exfiltração silenciosos.
Limites das informações / O que falta saber
As divulgações públicas descrevem o mecanismo geral (prompt injection → RAG query → exfiltração via imagem), e mencionam correções de arquitetura pelo Google. Não há, na fonte, indicadores técnicos detalhados de IOCs ou exemplos de payloads usados em ataques reais; por isso, defenderes dependem de controles de governança, revisão de design de RAG e telemetria para identificar abuso.
Repercussão / Próximos passos
Organizações devem reavaliar políticas de ingestão de dados para modelos generativos, separar ambientes de treino/consulta para conteúdo sensível, e integrar verificações de integridade e limites de exfiltração em pipelines RAG. Auditorias de compartilhamento e a aplicação de princípios de menor privilégio para documentos reduzem a probabilidade de sucesso da técnica. Para riscos legais e de privacidade, tratar o assistente como processador de dados e atualizar contratos e avaliações de impacto de privacidade é recomendado.