Google è già intervenuta per arginare il problema, ma l’allarme resta alto tra gli esperti di sicurezza. Una vulnerabilità scoperta nell’integrazione tra Gemini e Google Calendar ha dimostrato come un semplice invito possa trasformarsi in uno strumento di spionaggio. Secondo Miggo Security, la falla consente a un aggressore di ottenere informazioni sensibili senza installare malware o indurre l’utente a cliccare link sospetti. L’attacco sfrutta il modo in cui Gemini interpreta il linguaggio naturale all’interno degli eventi di calendario. Un testo apparentemente innocuo viene letto dall’assistente come un’istruzione nascosta. Quando l’utente interroga Gemini sulla propria disponibilità, l’AI analizza tutti gli eventi, inclusi quelli malevoli. In questo passaggio, l’assistente può essere indotto a raccogliere e riorganizzare dati privati.
Google ha confermato di aver applicato nuove protezioni, ma non ha fornito dettagli tecnici. Il caso riapre il dibattito sull’equilibrio tra potenza dell’intelligenza artificiale e sicurezza quotidiana. Le funzioni introdotte di recente, come la gestione simultanea di più calendari, ampliano la superficie d’attacco. La sensazione è che l’innovazione stia correndo più veloce delle contromisure.
Nell’integrazione tra Gemini e Calendar basta un invito per sottrarre dati personali
Il meccanismo individuato dai ricercatori è tanto semplice quanto difficile da individuare. L’aggressore invia un normale invito di Google Calendar alla vittima. Nella descrizione dell’evento inserisce frasi costruite con attenzione, prive di elementi sospetti. L’utente accetta l’invito e lo archivia inconsapevolmente nella propria agenda. L’evento resta inattivo finché Gemini non viene interrogato. A quel punto, l’assistente legge anche il testo nascosto e ne esegue le istruzioni. Nei test, Gemini ha creato un nuovo evento contenente il riepilogo completo degli appuntamenti dell’utente. Queste informazioni finiscono così nella descrizione del nuovo evento, accessibile all’attaccante. La vittima riceve una risposta normale e non sospetta nulla. Riunioni di lavoro, visite mediche e impegni personali possono essere esposti senza alcuna notifica.
Secondo Miggo, non si tratta di un caso isolato. In passato, altre ricerche avevano mostrato attacchi simili basati sulla prompt injection. Anche allora, Google Calendar era stato usato come veicolo. Questo dimostra come le capacità di ragionamento di Gemini possano essere manipolate. Gli avvisi di sicurezza esistenti non sempre riescono a intercettare questi scenari. Il rischio maggiore riguarda la fiducia degli utenti nei servizi integrati. Quando l’AI opera in background, distinguere tra aiuto e abuso diventa sempre più complesso.
