Google ไม่แก้ไขช่องโหว่ความปลอดภัยของ Gemini ที่อาจส่งข้อมูลส่วนตัวไปยังบุคคลอื่น
Google ไม่ยอมรับและแก้ไขช่องโหว่ ASCII smuggling ใน Gemini ที่อาจทำให้ข้อมูลส่วนตัวรั่วไหล โดยมองว่าเป็นเพียงการโจมตีทางวิศวกรรมสังคม แม้นักวิจัยพิสูจน์ความเสี่ยงแล้ว
Key takeaway
- Google ปฏิเสธที่จะแก้ไขช่องโหว่ ASCII smuggling ใน Gemini โดยมองว่าเป็นเพียงการโจมตีทางวิศวกรรมสังคม ทั้งที่ปัญหานี้อาจทำให้ข้อมูลส่วนตัวของผู้ใช้รั่วไหลได้
- ผลการทดสอบพบว่า Gemini, DeepSeek และ Grok มีความเสี่ยงต่อการโจมตีแบบ ASCII smuggling ในขณะที่ Claude, ChatGPT และ Copilot มีระบบป้องกันที่ดีกว่า
- ความเสี่ยงนี้จะยิ่งสูงขึ้นเมื่อ Gemini ถูกผนวกเข้ากับ Google Workspace เพราะผู้ไม่หวังดีอาจแฝงคำสั่งลับในอีเมลหรือเอกสารเพื่อให้ AI ส่งข้อมูลสำคัญออกไปได้
นักวิจัยด้านความปลอดภัยพบว่า Gemini มีความเสี่ยงต่อการโจมตีแบบ ASCII smuggling ซึ่งเป็นเทคนิคที่ซ่อนคำสั่งอันตรายในอีเมลหรือคำเชิญปฏิทินที่ระบบ AI สามารถอ่านได้เมื่อถูกขอให้สรุปข้อความ แต่ Google กลับปฏิเสธภัยคุกคามนี้ โดยระบุว่าเป็นเพียงการโจมตีทางวิศวกรรมสังคมและผลักความรับผิดชอบไปที่ผู้ใช้
แม้ Google มักจะให้ความสำคัญกับความปลอดภัยของผู้ใช้อย่างจริงจัง โดยใช้มาตรการต่างๆ เพื่อคุ้มครองผู้ใช้ผลิตภัณฑ์ของตน ซึ่งเป็นแนวคิดเดียวกับการควบคุมการติดตั้งแอปจากนักพัฒนาที่ไม่ได้รับการยืนยันบน Android แต่บริษัทกลับไม่กระตือรือร้นในการแก้ไขปัญหาที่ทำให้ Gemini เสี่ยงต่อภัยคุกคามทางไซเบอร์ที่น่ากังวล
ตามรายงานของ Bleeping Computer นักวิจัยด้านความปลอดภัย Viktor Markopoulos ได้ทดสอบ LLM ยอดนิยมหลายตัวกับการโจมตีแบบ ASCII smuggling พบว่า Gemini, DeepSeek และ Grok มีความเสี่ยงต่อการโจมตีประเภทนี้ ในขณะที่ Claude, ChatGPT และ Copilot มีระบบป้องกันที่มีประสิทธิภาพ
ASCII smuggling คือการซ่อนคำสั่งให้ AI อ่านโดยที่ผู้ใช้ไม่รู้ตัว เช่น ผู้ไม่หวังดีอาจเขียนคำสั่งลับในอีเมลด้วยฟอนต์ขนาดเล็กมากจนมองไม่เห็น หากผู้ใช้ขอให้ Gemini สรุปเนื้อหาในข้อความนั้น AI จะอ่านคำสั่งลับนี้ด้วย
อันตรายอาจเกิดขึ้นได้หลายรูปแบบ เช่น คำสั่งอาจสั่งให้ AI ค้นหาข้อมูลที่ละเอียดอ่อนในกล่องจดหมายหรือส่งข้อมูลส่วนตัวออกไป ซึ่งปัญหานี้ยิ่งมีความเสี่ยงสูงขึ้นเมื่อ Gemini ถูกผนวกเข้ากับ Google Workspace แล้ว
Markopoulos ได้แจ้งเตือน Google เกี่ยวกับปัญหานี้ พร้อมสาธิตการโจมตีโดยส่งคำสั่งที่มองไม่เห็นไปยัง Gemini จนทำให้ AI แชร์ลิงก์เว็บไซต์อันตรายที่อ้างว่ามีโทรศัพท์ราคาถูก อย่างไรก็ตาม Google ปฏิเสธว่านี่ไม่ใช่ช่องโหว่ด้านความปลอดภัย แต่เป็นเพียงกลยุทธ์ทางวิศวกรรมสังคม โดยผลักภาระความรับผิดชอบไปที่ผู้ใช้
จากการตอบสนองดังกล่าว ดูเหมือนว่า Google ไม่มีแผนที่จะแก้ไขปัญหาความปลอดภัยของ Gemini ในประเด็นนี้
Why it matters
💡 ข่าวนี้มีความสำคัญอย่างยิ่งสำหรับผู้ใช้งาน Gemini และผู้ที่สนใจด้านความปลอดภัยทางไซเบอร์ เนื่องจากเปิดเผยถึงช่องโหว่ร้ายแรงที่อาจทำให้ข้อมูลส่วนตัวรั่วไหล โดยเฉพาะเมื่อ Google ซึ่งเป็นบริษัทเทคโนโลยียักษ์ใหญ่กลับเพิกเฉยต่อปัญหา และยังผลักภาระให้ผู้ใช้งาน ทำให้เราต้องตระหนักและระมัดระวังในการใช้งาน AI มากขึ้น รวมถึงเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้นจากการใช้เทคโนโลยีเหล่านี้
ข้อมูลอ้างอิงจาก https://www.androidauthority.com/google-gemini-ascii-security-flaw-3605599/
