Basta um convite para um evento no Gmail para comprometer uma casa inteligente gerenciada pelo Google Gemini. Pesquisadores da Universidade de Tel-Aviv descobriram um método de prompt injection que explora fragilidades no ecossistema do Google para assumir o controle de dispositivos interconectados da residência, do assistente virtual Gemini e até do celular da vítima.Ter dispositivos inteligentes em casa oferece praticidade ao dia a dia. Luzes, cortinas, tomadas, interruptores e eletrodomésticos modernos podem ser gerenciados por hubs como o Google Home. Contudo, ao estender esse controle para o ambiente digital, amplia-se também a superfície vulnerável a ataques cibernéticos — e foi isso que os pesquisadores Ben Nassi, Stav Cohen e Or Yair mostraram no estudo “Invitation Is All You Need! Tara for Targeted Promptware Attack Against Gemini-Powered Assistant”.Leia também: Israel utilizou servidores da Microsoft para espionar milhões de palestinosComo funciona o ataqueNo artigo, os especialistas explicam como a técnica de prompt injection permite interferir no funcionamento do Gemini e acessar funcionalidades da casa inteligente com um simples convite enviado pelo Gmail ou pelo Google Agenda.Com o prompt injection no Gemini, o atacante pode comprometer as ações da IA do Google. (Fonte: Invitation Is All You Need/Reprodução)O ataque segue os seguintes passos:O atacante envia um convite ou e-mail malicioso com comandos ocultos;O usuário pede ao Gemini para resumir a caixa de entrada ou o calendário;O assistente lê os comandos escondidos e altera seu comportamento;O Gemini passa a agir conforme os interesses do invasor, sem que o usuário perceba.Esse tipo de ataque explora a capacidade da IA de interpretar contexto e manter memória, o que permite influenciar diretamente na forma como o chatbot responde e interage com o ambiente digital e físico do usuário.O que é prompt injection?Prompt injection é uma técnica usada para manipular inteligências artificiais generativas. Ela consiste em inserir instruções maliciosas dentro de textos aparentemente comuns. Se o sistema não estiver adequadamente protegido, pode acabar seguindo essas ordens sem perceber a manipulação.As consequências variam entre respostas incorretas, vazamento de dados e até mudança completa no comportamento da IA — tudo isso sem alertar o usuário de que está sob ataque.Consequências do ataque via GeminiSegundo o estudo, as ações que podem ser realizadas com esse tipo de ataque incluem:Geração de conteúdo tóxico ou ofensivo;Envio de spam;Criação e exclusão de eventos da agenda;Controle total de dispositivos da casa (luzes, cortinas, tomadas etc.);Início de chamadas de vídeo via Zoom;Extração de informações sensíveis armazenadas no e-mail;Rastreamento da localização da vítima em tempo real pelo navegador.De acordo com a análise de risco TARA incluída no paper, 73% das ameaças identificadas são consideradas altamente críticas para usuários finais.Quanto mais recursos, mais vulnerabilidadesO estudo ressalta que, quanto mais permissões o Gemini possui, maior o potencial de exploração. O chatbot pode abrir apps, enviar mensagens via WhatsApp ou SMS e realizar ações automatizadas — o que poderia ser usado, por exemplo, para aplicar golpes financeiros com mensagens a contatos próximos.Google reconhece a falhaO Google foi comunicado sobre a vulnerabilidade e reconheceu o problema descrito pelos pesquisadores. A empresa afirmou que trabalha em soluções para mitigar os riscos, incluindo melhorias na confirmação de ações sensíveis, tratamento de URLs e mecanismos mais robustos de detecção de comandos ocultos.Confira: Google confirma vazamento de dados, mas afirma ter contido o problemaO paper completo está disponível publicamente. Na página oficial do estudo, há uma descrição mais direta sobre as descobertas.Quer ficar por dentro das últimas descobertas sobre segurança digital e inteligência artificial? Siga o TecMundo nas redes sociais e acompanhe nossas atualizações diárias sobre tecnologia, privacidade e o futuro da automação.