Google ไม่แก้ไขช่องโหว่ความปลอดภัยของ Gemini ที่อาจส่งข้อมูลส่วนตัวไปยังบุคคลอื่น

Google ไม่ยอมรับและแก้ไขช่องโหว่ ASCII smuggling ใน Gemini ที่อาจทำให้ข้อมูลส่วนตัวรั่วไหล โดยมองว่าเป็นเพียงการโจมตีทางวิศวกรรมสังคม แม้นักวิจัยพิสูจน์ความเสี่ยงแล้ว

Google ไม่แก้ไขช่องโหว่ความปลอดภัยของ Gemini ที่อาจส่งข้อมูลส่วนตัวไปยังบุคคลอื่น

Key takeaway

  • Google ปฏิเสธที่จะแก้ไขช่องโหว่ ASCII smuggling ใน Gemini โดยมองว่าเป็นเพียงการโจมตีทางวิศวกรรมสังคม ทั้งที่ปัญหานี้อาจทำให้ข้อมูลส่วนตัวของผู้ใช้รั่วไหลได้
  • ผลการทดสอบพบว่า Gemini, DeepSeek และ Grok มีความเสี่ยงต่อการโจมตีแบบ ASCII smuggling ในขณะที่ Claude, ChatGPT และ Copilot มีระบบป้องกันที่ดีกว่า
  • ความเสี่ยงนี้จะยิ่งสูงขึ้นเมื่อ Gemini ถูกผนวกเข้ากับ Google Workspace เพราะผู้ไม่หวังดีอาจแฝงคำสั่งลับในอีเมลหรือเอกสารเพื่อให้ AI ส่งข้อมูลสำคัญออกไปได้

นักวิจัยด้านความปลอดภัยพบว่า Gemini มีความเสี่ยงต่อการโจมตีแบบ ASCII smuggling ซึ่งเป็นเทคนิคที่ซ่อนคำสั่งอันตรายในอีเมลหรือคำเชิญปฏิทินที่ระบบ AI สามารถอ่านได้เมื่อถูกขอให้สรุปข้อความ แต่ Google กลับปฏิเสธภัยคุกคามนี้ โดยระบุว่าเป็นเพียงการโจมตีทางวิศวกรรมสังคมและผลักความรับผิดชอบไปที่ผู้ใช้

แม้ Google มักจะให้ความสำคัญกับความปลอดภัยของผู้ใช้อย่างจริงจัง โดยใช้มาตรการต่างๆ เพื่อคุ้มครองผู้ใช้ผลิตภัณฑ์ของตน ซึ่งเป็นแนวคิดเดียวกับการควบคุมการติดตั้งแอปจากนักพัฒนาที่ไม่ได้รับการยืนยันบน Android แต่บริษัทกลับไม่กระตือรือร้นในการแก้ไขปัญหาที่ทำให้ Gemini เสี่ยงต่อภัยคุกคามทางไซเบอร์ที่น่ากังวล

ตามรายงานของ Bleeping Computer นักวิจัยด้านความปลอดภัย Viktor Markopoulos ได้ทดสอบ LLM ยอดนิยมหลายตัวกับการโจมตีแบบ ASCII smuggling พบว่า Gemini, DeepSeek และ Grok มีความเสี่ยงต่อการโจมตีประเภทนี้ ในขณะที่ Claude, ChatGPT และ Copilot มีระบบป้องกันที่มีประสิทธิภาพ

ASCII smuggling คือการซ่อนคำสั่งให้ AI อ่านโดยที่ผู้ใช้ไม่รู้ตัว เช่น ผู้ไม่หวังดีอาจเขียนคำสั่งลับในอีเมลด้วยฟอนต์ขนาดเล็กมากจนมองไม่เห็น หากผู้ใช้ขอให้ Gemini สรุปเนื้อหาในข้อความนั้น AI จะอ่านคำสั่งลับนี้ด้วย

อันตรายอาจเกิดขึ้นได้หลายรูปแบบ เช่น คำสั่งอาจสั่งให้ AI ค้นหาข้อมูลที่ละเอียดอ่อนในกล่องจดหมายหรือส่งข้อมูลส่วนตัวออกไป ซึ่งปัญหานี้ยิ่งมีความเสี่ยงสูงขึ้นเมื่อ Gemini ถูกผนวกเข้ากับ Google Workspace แล้ว

Markopoulos ได้แจ้งเตือน Google เกี่ยวกับปัญหานี้ พร้อมสาธิตการโจมตีโดยส่งคำสั่งที่มองไม่เห็นไปยัง Gemini จนทำให้ AI แชร์ลิงก์เว็บไซต์อันตรายที่อ้างว่ามีโทรศัพท์ราคาถูก อย่างไรก็ตาม Google ปฏิเสธว่านี่ไม่ใช่ช่องโหว่ด้านความปลอดภัย แต่เป็นเพียงกลยุทธ์ทางวิศวกรรมสังคม โดยผลักภาระความรับผิดชอบไปที่ผู้ใช้

จากการตอบสนองดังกล่าว ดูเหมือนว่า Google ไม่มีแผนที่จะแก้ไขปัญหาความปลอดภัยของ Gemini ในประเด็นนี้

Why it matters

💡 ข่าวนี้มีความสำคัญอย่างยิ่งสำหรับผู้ใช้งาน Gemini และผู้ที่สนใจด้านความปลอดภัยทางไซเบอร์ เนื่องจากเปิดเผยถึงช่องโหว่ร้ายแรงที่อาจทำให้ข้อมูลส่วนตัวรั่วไหล โดยเฉพาะเมื่อ Google ซึ่งเป็นบริษัทเทคโนโลยียักษ์ใหญ่กลับเพิกเฉยต่อปัญหา และยังผลักภาระให้ผู้ใช้งาน ทำให้เราต้องตระหนักและระมัดระวังในการใช้งาน AI มากขึ้น รวมถึงเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้นจากการใช้เทคโนโลยีเหล่านี้

ข้อมูลอ้างอิงจาก https://www.androidauthority.com/google-gemini-ascii-security-flaw-3605599/

Read more

Amazon มองหาทางเลือก AI ที่ถูกกว่า หลัง Anthropic เตรียมปรับใช้ระบบ Token-Based Pricing

news

Amazon มองหาทางเลือก AI ที่ถูกกว่า หลัง Anthropic เตรียมปรับใช้ระบบ Token-Based Pricing

Amazon เร่งหา AI ทางเลือกที่ถูกกว่า หลังพบว่า Anthropic เตรียมเปลี่ยนระบบเรียกเก็บเงินเป็นแบบ Token-Based Pricing ในปีหน้า พร้อมเปิดรับ OpenAI เข้ามาแทนที่ ท่ามกลางความสัมพันธ์ที่ตึงเครียดขึ้นระหว่างสองบริษัท

By
Arena แพลตฟอร์ม AI Leaderboard ที่ทุกคนใช้ ทะยานสู่รายได้ $100 ล้านในเวลาเพียง 8 เดือน

news

Arena แพลตฟอร์ม AI Leaderboard ที่ทุกคนใช้ ทะยานสู่รายได้ $100 ล้านในเวลาเพียง 8 เดือน

Arena แพลตฟอร์ม AI Leaderboard Crowdsourced ที่ใหญ่ที่สุดในโลก จาก UC Berkeley ทำ ARR แตะ $100 ล้านในเพียง 8 เดือน หลังเปิดบริการเชิงพาณิชย์ สะท้อนความต้องการตลาด AI Evaluation ที่พุ่งสูง

By
Chamath Palihapitiya ประกาศรับตำแหน่ง CEO พร้อมปิดดีล Series A มูลค่า $135M ให้กับ AI Coding Startup "8090 Labs"

news

Chamath Palihapitiya ประกาศรับตำแหน่ง CEO พร้อมปิดดีล Series A มูลค่า $135M ให้กับ AI Coding Startup "8090 Labs"

Chamath Palihapitiya ประกาศรับตำแหน่ง CEO ของ 8090 Labs สตาร์ทอัพ AI Coding พร้อมปิดรอบ Series A มูลค่า $135M นำโดย Salesforce Ventures มุ่งพัฒนา AI Agent สำหรับทีม Corporate Programming โดยเฉพาะ

By
AI ในสงคราม: คดีฟ้อง Data Center ของ xAI จุดชนวนถกเถียงด้านความมั่นคงแห่งชาติสหรัฐฯ

news

AI ในสงคราม: คดีฟ้อง Data Center ของ xAI จุดชนวนถกเถียงด้านความมั่นคงแห่งชาติสหรัฐฯ

รัฐบาล Trump เข้าแทรกแซงคดีฟ้อง xAI ของ Elon Musk ชี้ว่า Data Center ใน Memphis มีความสำคัญต่อความมั่นคงแห่งชาติ หลัง NAACP ฟ้องละเมิด Clean Air Act โดย Grok AI ถูกนำไปใช้ในปฏิบัติการทางทหาร

By