Când limbajul păcăleşte AI-ul: atacuri ascunse prin calendar şi asistenţi inteligenţi

Atunci când un asistent AI îţi răspunde la întrebări legate de program, totul pare simplu şi sigur, ca şi cum ai primi un rezumat neutru dintr-un calendar care îţi aparţine deja. Lucrurile se complică însă în momentul în care AI-ul primeşte permisiunea nu doar să citească evenimentele, ci şi să acţioneze în numele tău, de exemplu să creeze intrări noi. Din acel punct, limbajul în sine poate deveni un instrument de manipulare. Nu mai vorbim despre phishing clasic, bazat pe linkuri şi clickuri, ci despre capcane ascunse în context, care se declanşează exact atunci când pui o întrebare aparent banală.
Pe 19 ianuarie 2026, cercetători în securitate au prezentat o vulnerabilitate bazată pe indirect prompt injection, care afecta Google Gemini şi folosea Google Calendar ca mecanism de scurgere a informaţiilor. Practic, un atacator putea introduce un „payload” ascuns în descrierea unei invitaţii de calendar. Când utilizatorul îl întreba ulterior pe Gemini ceva nevinovat despre program, modelul ajungea să execute instrucţiunile mascate, ocolind anumite controale şi transformând calendarul într-un canal de exfiltrare a datelor. Deşi problema a fost remediată după o raportare responsabilă, mesajul rămâne clar: atunci când AI-ul devine interfaţa dintre tine şi datele tale, suprafaţa de atac se extinde în moduri greu de anticipat.
Totul pornea de la o invitaţie la un eveniment nou, trimisă de atacator către victimă. La prima vedere, invitaţia părea banală: titlu, dată, poate o locaţie şi o descriere. Elementul problematic era chiar descrierea, unde era inserat un text formulat ca o instrucţiune în limbaj natural, concepută să „convingă” modelul să execute o acţiune nepermisă. Asta defineşte indirect prompt injection: nu dai comenzi directe asistentului, ci ascunzi comanda într-un conţinut pe care acesta îl va citi ulterior ca parte din context.
Momentul-cheie era activarea. Atacul nu necesita accesarea unui link sau descărcarea unui fişier. Se declanşa în clipa în care utilizatorul îi adresa lui Gemini o întrebare obişnuită despre agendă, precum „am întâlniri mâine?” sau „ce urmează azi?”. În loc să se limiteze la un rezumat al programului, modelul ajungea să „asculte” instrucţiunea ascunsă în invitaţia maliţioasă. În demonstraţie, rezultatul era un comportament înşelător: Gemini crea un eveniment nou în calendar şi introducea în descrierea acestuia un rezumat detaliat al întâlnirilor private, apoi răspundea utilizatorului cu un mesaj aparent normal, fără niciun indiciu clar că s-a întâmplat ceva suspect.
În multe organizaţii, calendarele nu sunt sisteme complet izolate. Există niveluri diferite de vizibilitate, partajare între colegi, resurse comune, delegări, invitaţii externe sau politici care permit acces parţial la evenimente. Într-un astfel de context, un eveniment creat automat poate deveni vizibil altor persoane sau chiar expeditorului iniţial, în funcţie de configurare. Problema reală nu este că AI-ul a avut acces la datele tale, ci că a fost manipulat să le copieze într-un loc unde pot fi citite de altcineva.
Asta diferenţiază acest tip de atac de scurgerile clasice de date. Nu e nevoie să fie compromis contul victimei şi nici să fie furată o parolă. Atacul exploatează accesul legitim pe care modelul îl are la calendar, acces acordat de utilizator, şi îl foloseşte pentru a muta informaţia dintr-un context privat într-unul potenţial mai expus. În plus, răspunsul „cuminte” oferit utilizatorului reduce şansele ca acesta să observe imediat ce s-a întâmplat. Dacă nu verifici calendarul după interogare, este posibil să nu remarci apariţia unui eveniment nou cu conţinut sensibil.
Mai există şi o dimensiune mai subtilă: astfel de vulnerabilităţi nu ţin doar de cod, ci de modul în care modelul interpretează limbajul şi contextul în timp real. Chiar şi cu reguli şi mecanisme de protecţie, acestea pot fi ocolite atunci când instrucţiunea maliţioasă este prezentată ca „date”. Pentru atacatori, acest lucru este atractiv, deoarece e mai simplu să formulezi text manipulator decât să găseşti un exploit clasic într-o componentă software.
Primul pas de apărare este să tratezi invitaţiile de calendar ca pe un tip de conţinut extern, nu ca pe simple notificări. Verifică expeditorul şi contextul şi nu ignora invitaţiile doar pentru că par inofensive. Deschide descrierea şi caută semne de text nenatural: instrucţiuni elaborate, formulări care par adresate unui chatbot sau cerinţe de tipul „ignoră regulile”, „rezumă tot” ori „creează un eveniment nou”.
În al doilea rând, atunci când foloseşti un asistent AI conectat la calendar, limitează cererile la strictul necesar. Întrebările punctuale sunt mai sigure decât solicitările generale şi exhaustive. După o interogare, verifică rapid dacă au apărut evenimente noi neaşteptate. Dacă descoperi ceva suspect, şterge acele intrări, ajustează setările de vizibilitate şi, într-un mediu corporativ, anunţă echipa de securitate.
Pentru mediile enterprise, accentul ar trebui pus pe politicile de partajare. Limitează vizibilitatea către externi, controlează cine poate trimite invitaţii din afara organizaţiei şi stabileşte reguli clare pentru evenimentele create automat de aplicaţii sau asistenţi AI. Acolo unde este posibil, impune aprobări sau auditare detaliată pentru acţiuni precum crearea de evenimente sau modificarea descrierilor.
Această situaţie este un semn al unei schimbări mai ample. AI-ul nu mai este doar un instrument care generează text, ci un agent care citeşte din aplicaţii şi acţionează în interiorul lor. În momentul în care poate scrie în calendar, trimite emailuri, edita documente sau porni automatizări, orice câmp de text devine o potenţială zonă de influenţă. Atacatorii vor continua să caute astfel de breşe „semantice”, tocmai pentru că sunt greu de detectat cu mecanismele tradiţionale.
Chiar dacă vulnerabilitatea descrisă a fost rezolvată, principiul de bază rămâne valabil: nu trata niciodată conţinutul extern ca fiind sigur doar pentru că este „text”. Într-o lume dominată de asistenţi AI, textul poate deveni instrucţiune, iar instrucţiunea se poate transforma în acţiune. Menţinând obiceiuri sănătoase de igienă digitală – verificarea invitaţiilor, limitarea partajării, formularea de întrebări precise şi monitorizarea calendarului pentru schimbări neaşteptate – reduci semnificativ riscul de a cădea într-o astfel de capcană.