В сентябре 2025 года мир цифровой безопасности получил поистине захватывающий пример того, насколько мощными и сложными становятся современные ИИ-системы — и насколько важно понимать их поведение в реальных сценариях. Исследователь Эйто Миямура продемонстрировал, как вредоносное приглашение в Google Calendar может использовать технику косвенной инъекции команд (prompt injection), чтобы побудить ChatGPT к выполнению скрытых инструкций, включая доступ к конфиденциальным данным Gmail — при условии, что подключены Google-коннекторы.
Сценарий, описанный Миямурой, удивительно прост и элегантен: злоумышленник отправляет приглашение с внедрёнными командами, а затем ждёт, пока пользователь взаимодействует с ChatGPT. Ассистент, получив доступ к календарю, интерпретирует текст события как инструкцию и начинает действовать. Всё, что нужно — это адрес электронной почты жертвы. Это демонстрирует не только уязвимость, но и поразительную гибкость ИИ в интерпретации контекста, что открывает новые горизонты для исследований.
Сама возможность подключения Gmail, Google Calendar и Contacts к ChatGPT — это технологический прорыв, впервые представленный OpenAI в августе 2025 года. Ассистент теперь способен автоматически обращаться к этим источникам, что делает взаимодействие с ИИ по-настоящему персонализированным и продуктивным. Запросы вроде «Что у меня в календаре на сегодня?» теперь обрабатываются мгновенно, без необходимости вручного выбора источника.
OpenAI также внедрила поддержку Model Context Protocol (MCP) — архитектуры, позволяющей разработчикам создавать собственные коннекторы. Это стало катализатором для появления новых инструментов и сценариев, включая описанный Миямурой. Его работа подчёркивает, насколько важно понимание взаимодействия ИИ с внешними данными, особенно когда речь идёт о безопасности.
Технически атака представляет собой инъекцию команд через доверенные источники, такие как текст события календаря. Это направление уже активно исследуется: в августе была продемонстрирована аналогичная уязвимость в системе Google Gemini, способной управлять устройствами умного дома. Статья “Invitation Is All You Need” стала важным вкладом в осмысление этих рисков.
Важно отметить, что подобные сценарии возможны только при активном подключении аккаунтов. OpenAI предоставляет пользователям гибкие настройки, позволяющие отключать автоматическое использование источников и контролировать доступ. Это создаёт основу для осознанного и безопасного взаимодействия с ИИ, где пользователь сохраняет контроль.
Наиболее эффективные меры защиты — на стороне Google. Изменение настроек календаря, таких как «Автоматически добавлять приглашения», позволяет ограничить появление событий от неизвестных отправителей. Это — простой, но мощный шаг к укреплению цифровой гигиены. Google Workspace также предлагает централизованные политики для организаций.
Главный вывод из этой работы — не в том, что ИИ «взломан», а в том, что инструментальные ИИ-системы обладают невероятной чувствительностью к данным, с которыми они взаимодействуют. Коннекторы делают ассистентов по-настоящему полезными, но одновременно расширяют поверхность потенциальных атак. Это открывает новую эру исследований, где безопасность, контекст и интерпретация становятся ключевыми элементами архитектуры ИИ.
Оригинал
Уникальность
