I ricercatori di Miggo Security, piattaforma di Application Detection & Response, hanno identificato una falla di sicurezza in Google Gemini, l’assistente AI integrato in servizi come Gmail e Calendar. Tramite un invito a un evento Calendar con una descrizione opportunamente costruita, è stato possibile iniettare comandi che Gemini interpreta come istruzioni legittime. L’exploit sfrutta l’abilità di Gemini di analizzare eventi per rispondere a query come “Qual è il mio programma oggi?”, attivando un payload dormiente.
Il meccanismo, classificato come indirect prompt injection, bypassa i controlli di privacy di Calendar. Google utilizza un modello isolato per rilevare prompt malevoli, ma l’attacco lo elude poiché le istruzioni appaiono sintatticamente innocue, pur essendo semanticamente dannose.
Come funziona l’attacco
L’aggressore invia un invito con descrizione contenente prompt come: riassumere riunioni private di un giorno specifico, creare un nuovo evento con quel riassunto nella descrizione e rispondere all’utente con un messaggio innocuo tipo “E’ un orario libero”. Quando la vittima interroga Gemini sul proprio calendario, l’AI processa tutti gli eventi rilevanti, esegue le istruzioni e genera un nuovo evento visibile all’attaccante in contesti enterprise.
Non serve cliccare link o approvare permessi: basta una domanda di routine. Questo rende l’attacco di fatto invisibile e zero-click dal punto di vista utente. Miggo ha testato il flusso in tre fasi: payload, trigger e leak.
Contesto e risposta di Google
Non si tratta di una novita’ assoluta: ad agosto 2025, SafeBreach aveva mostrato exploit simili via titoli di eventi, controllando agenti Gemini. Malgrado i fix successivi, Miggo ha dimostrato persistenti vulnerabilità nel meccanismo di ragionamento dell’AI. La societaà ha comunicato quanto individuato a Google, che ha implementato mitigazioni aggiuntive.
Un portavoce Google ha confermato una strategia di sicurezza multilayered, inclusa la conferma dell’utente per la creazioni di eventi da parte di Gemini, prevenendo esfiltrazioni automatiche. “I contributi della comunità di ricerca aiutano a rafforzare le protezioni”, ha dichiarato, apprezzando il lavoro di Miggo.
Non emergono evidenze di abusi in attacchi reali. L’incidente sottolinea come integrazioni AI in app quotidiane amplino la superficie d’attacco, spostando le vulnerabilità dal codice al linguaggio naturale. Miggo raccomanda difese sensibili al contesto oltre a misure di rilevamento semantico.