Специалисты компании Miggo Security под руководством главы отдела исследований Лиада Элияху обнаружили критическую уязвимость в Google Gemini, которая позволяет использовать непрямую инъекцию промпта для обхода защитных механизмов авторизации. Этот метод атаки эксплуатирует Google Calendar как инструмент для извлечения данных, демонстрируя смещение вектора угроз от традиционного кода к языковым моделям, контексту и поведению ИИ во время выполнения. Сценарий атаки начинается с того, что злоумышленник отправляет жертве стандартное приглашение в календарь, содержащее «спящую» вредоносную нагрузку в виде промпта на естественном языке, скрытого в описании события.
Механизм активации эксплойта срабатывает, когда пользователь задает Google Gemini безобидный вопрос о своем расписании, например: «Есть ли у меня встречи во вторник?». Gemini обрабатывает вредоносный промпт из описания приглашения и выполняет заложенные в нем инструкции. В результате модель суммирует информацию о частных встречах пользователя за определенный день и записывает эти данные в описание нового события Google Calendar. Во многих корпоративных конфигурациях созданное событие автоматически становится видимым для организатора встречи (злоумышленника), что позволяет ему получить конфиденциальные данные без какого-либо дополнительного взаимодействия с пользователем.
Параллельно с этим компания Varonis выявила атаку под названием «Reprompt», нацеленную на Microsoft Copilot. Эта уязвимость позволяла злоумышленникам эксфильтровать чувствительные данные всего одним кликом, обходя корпоративные средства контроля безопасности. Данный инцидент подчеркивает острую необходимость тестирования больших языковых моделей (LLM) не только на функциональность, но и на устойчивость к галлюцинациям, фактическую точность, предвзятость, вредоносное воздействие и возможность джейлбрейка (смягчения ограничений безопасности).
Исследователи Эли Шпарага и Эрез Хассон из компании XM Cyber, входящей в Schwarz Group, раскрыли информацию об уязвимости повышения привилегий в Google Cloud Vertex AI Agent Engine и Ray. Проблема заключается в том, что злоумышленники с минимальными правами могут захватить высокопривилегированных служебных агентов (Service Agents), превращая их идентичности в «двойных агентов». Это открывает доступ к чтению сессий чатов, памяти LLM, бакетов хранилища или даже к получению root-доступа к кластеру Ray. Представители Google заявили, что сервисы в данный момент «работают так, как задумано», однако эксперты рекомендуют предприятиям проводить аудит идентичностей с ролью Viewer и внедрять контроль против несанкционированной инъекции кода.
Серьезные проблемы безопасности были также обнаружены в инструменте The Librarian — персональном помощнике на базе ИИ от . Уязвимости, получившие идентификаторы CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 и CVE-2026-0616, позволяют атакующим получить доступ к внутренней инфраструктуре, включая консоль администратора и облачную среду. Эксплуатация этих брешей может привести к утечке чувствительной информации, такой как облачные метаданные, детали бэкенд-процессов и системные промпты, или даже позволить вход во внутренний бэкенд системы.
Компания Praetorian продемонстрировала метод извлечения данных через LLM, основанный на намерениях (intent-based), при котором модель заставляют выводить информацию в формате кодировки Base64 в поля форм. Ключевая концепция этой угрозы заключается в том, что если языковая модель имеет возможность записи в любое поле, журнал или базу данных, это поле автоматически становится каналом эксфильтрации, независимо от защищенности интерфейса чата. Другой вектор атаки был обнаружен в маркетплейсе Anthropic Claude Code, где загрузка вредоносного плагина позволяла обходить защиту «человек в контуре» (human-in-the-loop) через хуки и эксфильтровать файлы с помощью непрямой инъекции промпта.
Исследователи Pillar Security выявили критическую уязвимость удаленного выполнения кода (RCE) в инструменте Cursor, которой был присвоен идентификатор CVE-2026-22708. Метод атаки эксплуатирует недосмотр в том, как агентные среды разработки (IDE) обрабатывают встроенные команды оболочки. Злоумышленники могут злоупотреблять доверенными встроенными функциями, такими как
Ори Давид из компании Tenzai провел анализ так называемых IDE для «Vibe Coding», исследовав пять инструментов: Cursor, Claude Code, OpenAI Codex, Replit и Devin. Результаты показали, что хотя эти инструменты эффективно предотвращают SQL-инъекции и межсайтовый скриптинг (XSS), они испытывают трудности с уязвимостями подделки запросов на стороне сервера (SSRF), бизнес-логикой и авторизацией API. Критическим провалом стало то, что ни один из проанализированных инструментов не включал защиту от межсайтовой подделки запросов (CSRF), заголовки безопасности или ограничение частоты попыток входа (rate limiting). Вывод исследования гласит, что агентам кодирования пока нельзя доверять проектирование безопасных приложений без человеческого контроля, так как они не справляются с нюансами решений по безопасности и границами доверия.
Изображение носит иллюстративный характер
Механизм активации эксплойта срабатывает, когда пользователь задает Google Gemini безобидный вопрос о своем расписании, например: «Есть ли у меня встречи во вторник?». Gemini обрабатывает вредоносный промпт из описания приглашения и выполняет заложенные в нем инструкции. В результате модель суммирует информацию о частных встречах пользователя за определенный день и записывает эти данные в описание нового события Google Calendar. Во многих корпоративных конфигурациях созданное событие автоматически становится видимым для организатора встречи (злоумышленника), что позволяет ему получить конфиденциальные данные без какого-либо дополнительного взаимодействия с пользователем.
Параллельно с этим компания Varonis выявила атаку под названием «Reprompt», нацеленную на Microsoft Copilot. Эта уязвимость позволяла злоумышленникам эксфильтровать чувствительные данные всего одним кликом, обходя корпоративные средства контроля безопасности. Данный инцидент подчеркивает острую необходимость тестирования больших языковых моделей (LLM) не только на функциональность, но и на устойчивость к галлюцинациям, фактическую точность, предвзятость, вредоносное воздействие и возможность джейлбрейка (смягчения ограничений безопасности).
Исследователи Эли Шпарага и Эрез Хассон из компании XM Cyber, входящей в Schwarz Group, раскрыли информацию об уязвимости повышения привилегий в Google Cloud Vertex AI Agent Engine и Ray. Проблема заключается в том, что злоумышленники с минимальными правами могут захватить высокопривилегированных служебных агентов (Service Agents), превращая их идентичности в «двойных агентов». Это открывает доступ к чтению сессий чатов, памяти LLM, бакетов хранилища или даже к получению root-доступа к кластеру Ray. Представители Google заявили, что сервисы в данный момент «работают так, как задумано», однако эксперты рекомендуют предприятиям проводить аудит идентичностей с ролью Viewer и внедрять контроль против несанкционированной инъекции кода.
Серьезные проблемы безопасности были также обнаружены в инструменте The Librarian — персональном помощнике на базе ИИ от . Уязвимости, получившие идентификаторы CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 и CVE-2026-0616, позволяют атакующим получить доступ к внутренней инфраструктуре, включая консоль администратора и облачную среду. Эксплуатация этих брешей может привести к утечке чувствительной информации, такой как облачные метаданные, детали бэкенд-процессов и системные промпты, или даже позволить вход во внутренний бэкенд системы.
Компания Praetorian продемонстрировала метод извлечения данных через LLM, основанный на намерениях (intent-based), при котором модель заставляют выводить информацию в формате кодировки Base64 в поля форм. Ключевая концепция этой угрозы заключается в том, что если языковая модель имеет возможность записи в любое поле, журнал или базу данных, это поле автоматически становится каналом эксфильтрации, независимо от защищенности интерфейса чата. Другой вектор атаки был обнаружен в маркетплейсе Anthropic Claude Code, где загрузка вредоносного плагина позволяла обходить защиту «человек в контуре» (human-in-the-loop) через хуки и эксфильтровать файлы с помощью непрямой инъекции промпта.
Исследователи Pillar Security выявили критическую уязвимость удаленного выполнения кода (RCE) в инструменте Cursor, которой был присвоен идентификатор CVE-2026-22708. Метод атаки эксплуатирует недосмотр в том, как агентные среды разработки (IDE) обрабатывают встроенные команды оболочки. Злоумышленники могут злоупотреблять доверенными встроенными функциями, такими как
export, typeset и declare, для манипуляции переменными окружения. Это позволяет превращать безобидные команды, например git branch или python3 , в векторы выполнения произвольного кода. Ори Давид из компании Tenzai провел анализ так называемых IDE для «Vibe Coding», исследовав пять инструментов: Cursor, Claude Code, OpenAI Codex, Replit и Devin. Результаты показали, что хотя эти инструменты эффективно предотвращают SQL-инъекции и межсайтовый скриптинг (XSS), они испытывают трудности с уязвимостями подделки запросов на стороне сервера (SSRF), бизнес-логикой и авторизацией API. Критическим провалом стало то, что ни один из проанализированных инструментов не включал защиту от межсайтовой подделки запросов (CSRF), заголовки безопасности или ограничение частоты попыток входа (rate limiting). Вывод исследования гласит, что агентам кодирования пока нельзя доверять проектирование безопасных приложений без человеческого контроля, так как они не справляются с нюансами решений по безопасности и границами доверия.
