A Google decidiu não corrigir uma vulnerabilidade de segurança em sua ferramenta de inteligência artificial, Gemini, que permite a execução de códigos maliciosos ocultos em textos invisíveis. Essa técnica, conhecida como ASCII smuggling, utiliza caracteres especiais do Unicode para inserir comandos maliciosos na LLM (Large Language Model) sem que o usuário perceba. Embora a falha não seja nova, os riscos aumentaram com a maior autonomia e acesso a dados sensíveis que assistentes como o Gemini possuem. O pesquisador de segurança Viktor Markopoulos, da FireTail, testou várias ferramentas de IA e encontrou vulnerabilidades semelhantes em algumas delas, mas não em outras como Claude, ChatGPT e Microsoft Copilot, que possuem validação de dados de entrada. A Google, ao ser informada sobre a vulnerabilidade, minimizou o problema, alegando que ele só poderia ser explorado por meio de engenharia social. No entanto, a possibilidade de que convites de calendário e e-mails no Google Workspace possam incluir códigos maliciosos representa um risco significativo, pois esses códigos podem instruir as LLMs a acessar dados sensíveis do dispositivo da vítima e enviá-los aos atacantes.
Fonte: https://canaltech.com.br/seguranca/google-nao-corrigira-falha-no-gemini-que-executa-codigo-de-textos-invisiveis/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
10/10/2025 • Risco: ALTO
VULNERABILIDADE
Google não corrigirá falha no Gemini que executa código invisível
RESUMO EXECUTIVO
A vulnerabilidade no Gemini representa um risco significativo para a segurança de dados sensíveis, especialmente em um contexto onde a conformidade com a LGPD é crítica. A falta de correção por parte da Google pode levar a incidentes de segurança que impactam diretamente as operações das empresas que utilizam essa ferramenta.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e custos de mitigação
Operacional
Possibilidade de acesso a dados sensíveis e instalação de malwares
Setores vulneráveis
['Tecnologia', 'Serviços financeiros', 'Educação']
📊 INDICADORES CHAVE
Vulnerabilidade identificada em 18 de setembro de 2025
Indicador
Aumento no risco de exploração devido à maior autonomia do Gemini
Contexto BR
Comparação com outras LLMs que não apresentam a vulnerabilidade
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há uso do Google Workspace e Gemini nas operações da empresa.
2
Implementar políticas de segurança para monitorar e restringir o uso de assistentes de IA.
3
Monitorar continuamente atividades suspeitas em e-mails e convites de calendário.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis que podem ser acessados por meio de ferramentas de IA como o Gemini.
⚖️ COMPLIANCE
Implicações legais e de compliance relacionadas à LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
