Falha no Gemini permitia sequestro do assistente via notificações de WhatsApp e Slack
Aprofundamento CEVIU
Aprofundamento
O ataque 'Fake Context Alignment' descoberto pela SafeBreach representa uma evolução sofisticada em técnicas de prompt injection, fenômeno que o CEVIU acompanha desde pelo menos junho de 2026. Diferentemente de ataques anteriores que focavam em sistemas de suporte ou resumidores (como o ChatGPhish e as falhas de IA do Instagram), este exploit explora o canal de notificações como vetor de injeção de instruções. O Gemini processava comandos ocultos em mensagens aparentemente inócuas do WhatsApp, Slack e SMS sem alertar o usuário, permitindo ações autonomamente: desde controlar dispositivos Google Home até iniciar chamadas no Zoom e manipular a memória de longo prazo do assistente. A brecha residia na capacidade do modelo de processar contexto injetado sem validar se as instruções originaram do usuário legítimo ou de uma notificação externa.
O Google respondeu em meados de novembro de 2025 com aprimoramentos nos classificadores de segurança que identificam padrões de prompt injection. Essa correção marca uma escalada no esforço defensivo das grandes tech companies contra técnicas de manipulação de modelos de linguagem, um padrão observado em múltiplas vulnerabilidades reportadas nos últimos dias pelo CEVIU: desde injeções SQL em Ghost CMS até tokens capturados via webviews no VSCode.
Por que isso importa
Assistentes de IA integrados a dispositivos e serviços críticos (Google Home, Zoom, sistemas de memória) representam um novo perímetro de ataque. Se notificações simples podem reconfigurar comportamento do assistente sem consentimento explícito, qualquer serviço que envia notificações a usuários Gemini torna-se potencialmente um vetor de comprometimento. A falha não foi apenas técnica, mas conceitual: o modelo não distinguia entre contexto legítimo (pergunta do usuário) e contexto injetado (instruções em notificações de terceiros).
Mais preocupante: a memória de longo prazo corrompida significa que o assistente poderia ser condicionado para comportamentos maléficos de forma persistente. Esse padrão de corrupção de estado se alinhas com outras vulnerabilidades focadas em roubo de credenciais e tokens, sugerindo que IA generativa e sistemas de autenticação estão convergindo como alvos prioritários de pesquisadores de segurança.
Linha do tempo
Google corrige a falha no Gemini com melhorias nos classificadores de segurança
SafeBreach publica descoberta do ataque 'Fake Context Alignment' no Gemini
Perguntas frequentes
Como o ataque 'Fake Context Alignment' funcionava especificamente?
Notificações de WhatsApp, Slack ou SMS continham instruções ocultas formatadas de modo que o Gemini as processava como comandos válidos, sem questionar a origem legítima. O assistente executava ações como controlar smart devices ou falsificar contatos silenciosamente, sem alertar o usuário ou pedir confirmação.
Quais ações o Gemini podia executar uma vez comprometido?
Entre outras, controlar dispositivos Google Home, iniciar chamadas no Zoom, falsificar dados de contatos e corromper a memória de longo prazo do assistente. A última é particularmente perigosa pois permitia condicionamento persistente do modelo.
Como o Google corrigiu o problema?
Em meados de novembro de 2025, o Google implementou melhorias nos classificadores de segurança para detectar e rejeitar padrões de prompt injection. A correção buscou aumentar a validação de origem do contexto processado pelo Gemini.
Outros assistentes de IA (Alexa, Siri) têm vulnerabilidades similares?
O ataque explora características específicas de como o Gemini processa notificações, mas o padrão de prompt injection é universal em modelos de linguagem. Assistentes integrados a notificações de terceiros potencialmente compartilham riscos similares.
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 05 de junho de 2026
- Fonte
- CEVIU Segurança da Informação