ช่องโหว่ Prompt Injection ใน Google Gemini เปิดเผยข้อมูลปฏิทินส่วนตัวผ่านคำเชิญ

Key takeaway

• ช่องโหว่ Prompt Injection ใน Google Gemini ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการควบคุมความเป็นส่วนตัวของ Google Calendar โดยซ่อนคำสั่งอันตรายในคำเชิญปฏิทิน เพื่อดึงข้อมูลการประชุมส่วนตัวของผู้ใช้โดยไม่ได้รับอนุญาต
• การโจมตีทำงานเมื่อผู้ใช้ถาม Gemini เกี่ยวกับตารางเวลา ซึ่งกระตุ้นให้ AI ประมวลผลคำสั่งที่แฝงอยู่ในคำอธิบายกิจกรรม ทำให้ AI สร้างกิจกรรมใหม่ที่มีข้อมูลส่วนตัวของผู้ใช้ซึ่งผู้โจมตีสามารถเข้าถึงได้
• ปัญหานี้สะท้อนให้เห็นว่าระบบ AI ขยายพื้นที่การโจมตีและสร้างความเสี่ยงด้านความปลอดภัยใหม่ๆ โดยไม่ได้ตั้งใจ ช่องโหว่ไม่ได้จำกัดอยู่แค่โค้ดอีกต่อไป แต่อยู่ในภาษา บริบท และพฤติกรรมของ AI ในขณะทำงาน

นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยรายละเอียดของช่องโหว่ความปลอดภัยที่ใช้ indirect prompt injection ซึ่งมุ่งเป้าไปที่ Google Gemini เพื่อหลีกเลี่ยงการป้องกันการอนุญาตและใช้ Google Calendar เป็นเครื่องมือในการดึงข้อมูลส่วนตัว

Liad Eliyahu หัวหน้าฝ่ายวิจัยของ Miggo Security กล่าวว่า ช่องโหว่นี้ทำให้สามารถหลีกเลี่ยงการควบคุมความเป็นส่วนตัวของ Google Calendar โดยการซ่อนชุดคำสั่งอันตรายไว้ในคำเชิญปฏิทินทั่วไป

"การหลีกเลี่ยงนี้ทำให้สามารถเข้าถึงข้อมูลการประชุมส่วนตัวโดยไม่ได้รับอนุญาตและสร้างกิจกรรมปฏิทินหลอกลวงโดยผู้ใช้ไม่ต้องมีปฏิสัมพันธ์โดยตรง" Eliyahu กล่าวในรายงานที่แบ่งปันกับ The Hacker News

กระบวนการโจมตีเริ่มต้นจากการที่ผู้โจมตีสร้างกิจกรรมปฏิทินและส่งไปยังเป้าหมาย โดยในคำอธิบายของคำเชิญมีการฝังคำสั่งภาษาธรรมชาติที่ออกแบบมาให้ระบบทำตาม ซึ่งนำไปสู่การเกิด prompt injection

การโจมตีจะเริ่มทำงานเมื่อผู้ใช้ถาม Gemini คำถามธรรมดาเกี่ยวกับตารางเวลา (เช่น "ฉันมีการประชุมในวันอังคารไหม?") ซึ่งกระตุ้นให้ chatbot AI ประมวลผลคำสั่งพิเศษที่แฝงอยู่ในคำอธิบายของกิจกรรมที่ผู้โจมตีส่งมาก่อนหน้านี้ ทำให้ AI สรุปการประชุมทั้งหมดของผู้ใช้สำหรับวันนั้น เพิ่มข้อมูลนี้ลงในกิจกรรม Google Calendar ใหม่ และตอบกลับผู้ใช้ด้วยข้อความที่ดูไม่มีพิษภัย

"อย่างไรก็ตาม เบื้องหลัง Gemini ได้สร้างกิจกรรมปฏิทินใหม่และเขียนสรุปเต็มรูปแบบของการประชุมส่วนตัวของผู้ใช้เป้าหมายลงในคำอธิบายของกิจกรรม" Miggo กล่าว "ในการตั้งค่าปฏิทินขององค์กรหลายแห่ง กิจกรรมใหม่นี้จะปรากฏให้ผู้โจมตีเห็น ทำให้พวกเขาสามารถอ่านข้อมูลส่วนตัวที่ถูกดึงออกมาได้โดยที่ผู้ใช้เป้าหมายไม่ต้องดำเนินการใดๆ"

แม้ว่าปัญหานี้จะได้รับการแก้ไขแล้วหลังจากการแจ้งเตือนอย่างรับผิดชอบ แต่การค้นพบนี้แสดงให้เห็นอีกครั้งว่าฟีเจอร์ที่ใช้ AI สามารถขยายพื้นที่การโจมตีและสร้างความเสี่ยงด้านความปลอดภัยใหม่ๆ โดยไม่ได้ตั้งใจ เมื่อองค์กรต่างๆ นำเครื่องมือ AI มาใช้หรือสร้าง agent ของตนเองเพื่อทำให้เวิร์กโฟลว์เป็นอัตโนมัติ

"แอปพลิเคชัน AI สามารถถูกจัดการผ่านภาษาที่พวกมันถูกออกแบบมาให้เข้าใจ" Eliyahu กล่าว "ช่องโหว่ไม่ได้จำกัดอยู่แค่โค้ดอีกต่อไป แต่อยู่ในภาษา บริบท และพฤติกรรมของ AI ในขณะทำงาน"

การเปิดเผยนี้เกิดขึ้นหลังจาก Varonis รายงานเกี่ยวกับการโจมตีที่เรียกว่า Reprompt ซึ่งอาจทำให้ผู้โจมตีสามารถดึงข้อมูลที่ละเอียดอ่อนจาก chatbot AI เช่น Microsoft Copilot ได้ด้วยการคลิกเพียงครั้งเดียว โดยหลีกเลี่ยงการควบคุมความปลอดภัยขององค์กร

ผลการค้นพบนี้แสดงให้เห็นถึงความจำเป็นในการประเมิน Large Language Models (LLMs) อย่างต่อเนื่องในแง่มุมความปลอดภัยที่สำคัญ ทดสอบแนวโน้มของพวกมันในการ hallucination ความถูกต้องของข้อเท็จจริง อคติ อันตราย และความต้านทานต่อการ jailbreak พร้อมกับการป้องกันระบบ AI จากช่องโหว่แบบดั้งเดิม

เมื่อสัปดาห์ที่แล้ว XM Cyber ของ Schwarz Group ได้เปิดเผยวิธีใหม่ในการยกระดับสิทธิ์ภายใน Google Cloud Vertex AI's Agent Engine และ Ray ซึ่งเน้นย้ำว่าองค์กรจำเป็นต้องตรวจสอบบัญชีบริการหรือตัวตนทุกรายการที่เชื่อมต่อกับเวิร์กโหลด AI ของพวกเขา

นักวิจัย Eli Shparaga และ Erez Hasson กล่าวว่า "ช่องโหว่เหล่านี้ทำให้ผู้โจมตีที่มีสิทธิ์น้อยสามารถยึด Service Agents ที่มีสิทธิ์สูง ซึ่งทำให้ตัวตนที่มีการจัดการ 'ที่มองไม่เห็น' เหล่านี้กลายเป็น 'double agents' ที่อำนวยความสะดวกในการยกระดับสิทธิ์"

การใช้ประโยชน์จากช่องโหว่ double agent ที่ประสบความสำเร็จอาจอนุญาตให้ผู้โจมตีอ่านเซสชันแชททั้งหมด เข้าถึงหน่วยความจำของ LLM และอ่านข้อมูลที่อาจละเอียดอ่อนในที่เก็บข้อมูล หรือได้รับสิทธิ์ root access ไปยังคลัสเตอร์ Ray ด้วย Google ที่ระบุว่าบริการเหล่านี้ "ทำงานตามที่ออกแบบไว้" ในปัจจุบัน จึงเป็นสิ่งสำคัญที่องค์กรต้องตรวจสอบตัวตนที่มีบทบาท Viewer และตรวจสอบให้แน่ใจว่ามีการควบคุมที่เพียงพอเพื่อป้องกันการฉีดโค้ดที่ไม่ได้รับอนุญาต

การพัฒนานี้เกิดขึ้นพร้อมกับการค้นพบช่องโหว่และจุดอ่อนหลายประการในระบบ AI ต่างๆ:

• ช่องโหว่ด้านความปลอดภัย (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615 และ CVE-2026-0616) ใน The Librarian ซึ่งเป็นผู้ช่วยส่วนตัวที่ขับเคลื่อนด้วย AI จาก TheLibrarian.io ที่ช่วยให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐานภายใน รวมถึงคอนโซลผู้ดูแลระบบและสภาพแวดล้อมคลาวด์ และนำไปสู่การรั่วไหลของข้อมูลละเอียดอ่อน เช่น เมตาดาต้าคลาวด์ กระบวนการภายใน backend และ system prompt หรือเข้าสู่ระบบ backend ภายในของระบบ
• ช่องโหว่ที่แสดงให้เห็นว่า system prompt สามารถถูกดึงออกจาก intent-based LLM assistants โดยการกระตุ้นให้พวกมันแสดงข้อมูลในรูปแบบ Base64-encoded ในฟิลด์แบบฟอร์ม Praetorian กล่าวว่า "หาก LLM สามารถดำเนินการที่เขียนลงในฟิลด์ บันทึก รายการฐานข้อมูล หรือไฟล์ใดๆ แต่ละอย่างจะกลายเป็นช่องทางการรั่วไหลที่อาจเกิดขึ้นได้ ไม่ว่าอินเทอร์เฟซแชทจะถูกล็อกดาวน์อย่างไรก็ตาม"
• การโจมตีที่แสดงให้เห็นว่าปลั๊กอินอันตรายที่อัปโหลดไปยังตลาดสำหรับ Anthropic Claude Code สามารถใช้เพื่อหลีกเลี่ยงการป้องกัน human-in-the-loop ผ่าน hooks และดึงไฟล์ของผู้ใช้ผ่าน indirect prompt injection
• ช่องโหว่สำคัญใน Cursor (CVE-2026-22708) ที่ช่วยให้สามารถดำเนินการโค้ดระยะไกลผ่าน indirect prompt injection โดยการใช้ประโยชน์จากความบกพร่องในวิธีที่ agentic IDEs จัดการคำสั่ง shell built-in Pillar Security กล่าวว่า "โดยการใช้ shell built-ins ที่ได้รับความไว้วางใจโดยนัย เช่น export, typeset และ declare ผู้โจมตีสามารถจัดการตัวแปรสภาพแวดล้อมอย่างเงียบๆ ซึ่งต่อมาจะทำให้พฤติกรรมของเครื่องมือนักพัฒนาเป็นพิษ" "ห่วงโซ่การโจมตีนี้แปลงคำสั่งที่ไม่เป็นอันตรายที่ผู้ใช้อนุมัติ เช่น git branch หรือ python3 script.py ให้เป็นเวกเตอร์การดำเนินการโค้ดตามอำเภอใจ"
• การวิเคราะห์ความปลอดภัยของ Vibe coding IDEs ห้าตัว ได้แก่ Cursor, Claude Code, OpenAI Codex, Replit และ Devin พบว่า coding agents นั้นดีในการหลีกเลี่ยง SQL injections หรือข้อบกพร่อง XSS แต่มีปัญหาเมื่อต้องจัดการกับปัญหา SSRF, business logic และการบังคับใช้การอนุญาตที่เหมาะสมเมื่อเข้าถึง APIs นอกจากนี้ ไม่มีเครื่องมือใดที่รวมการป้องกัน CSRF, security headers หรือการจำกัดอัตราการเข้าสู่ระบบ

การทดสอบเหล่านี้เน้นย้ำถึงข้อจำกัดปัจจุบันของ vibe coding แสดงให้เห็นว่าการกำกับดูแลของมนุษย์ยังคงเป็นกุญแจสำคัญในการแก้ไขช่องว่างเหล่านี้

Ori David จาก Tenzai กล่าวว่า "Coding agents ไม่สามารถไว้วางใจให้ออกแบบแอปพลิเคชันที่ปลอดภัยได้" แม้ว่าพวกมันอาจสร้างโค้ดที่ปลอดภัย (บางครั้ง) แต่ agents มักล้มเหลวในการใช้การควบคุมความปลอดภัยที่สำคัญโดยไม่มีคำแนะนำที่ชัดเจน ในขอบเขตที่ไม่ชัดเจน - เวิร์กโฟลว์ business logic, กฎการอนุญาต และการตัดสินใจด้านความปลอดภัยที่มีความละเอียดอ่อนอื่นๆ - agents มักจะทำผิดพลาด"

Why it matters

💡 ข่าวนี้เป็นเรื่องสำคัญที่ผู้ใช้เทคโนโลยีทุกคนควรติดตาม เพราะเปิดเผยช่องโหว่ร้ายแรงใน Google Gemini ที่อาจทำให้ข้อมูลปฏิทินส่วนตัวของคุณรั่วไหลได้โดยที่คุณไม่รู้ตัว การโจมตีแบบ Prompt Injection นี้แสดงให้เห็นถึงความเสี่ยงใหม่ที่มาพร้อมกับเทคโนโลยี AI ในชีวิตประจำวัน แม้ Google จะแก้ไขปัญหานี้แล้ว แต่ยังมีบทเรียนสำคัญสำหรับผู้ใช้และองค์กรในการระมัดระวังเมื่อใช้เครื่องมือ AI กับข้อมูลส่วนตัวหรือข้อมูลสำคัญขององค์กร

ข้อมูลอ้างอิงจาก https://thehackernews.com/2026/01/google-gemini-prompt-injection-flaw.html