Google repara vulnerabilitat crítica a Gemini AI

critica · VULNERABILITAT · tecnologia, serveis cloud, pimes

#noticia#vulnerabilitat#gravetat-critica#tecnologia#serveis-cloud#pimes#ciberseguretat#intel·ligènciaartificial

10 de desembre del 2025 · SecurityWeek ↗

Resum

Google ha solucionat tres vulnerabilitats greus en la seva suite d’IA Gemini que exposaven dades corporatives i privades. Aquestes fallades permetien a atacants infiltrar-se i extreure informació sensible de manera silenciosa. La vulnerabilitat afectava funcions clau com el model de personalització de cerca, l’assistent Cloud Assist i l’eina de navegació.

Què ha passat?

Investigadors de Tenable van descobrir tres vulnerabilitats crítiques en Google Gemini, que van anomenar ‘Gemini Trifecta’. Aquestes fallades permetien als atacants injectar ordres malicioses en l’historial de cerca de Chrome, manipular registres de logs i abusar de les integracions amb APIs de Google Cloud per extreure dades sensibles sense que l’usuari s’adonés. En concret, l’atac podia fer que Gemini filtrés informació guardada i dades de localització, així com executar accions no autoritzades en recursos cloud mitjançant instruccions ocultes en els logs. Google va reparar aquestes vulnerabilitats després de ser notificades, implementant defenses contra la injecció de prompts i bloquejant l’explotació de les eines afectades.

Impacte empreses

Les petites i mitjanes empreses que utilitzen Google Gemini o serveis integrats amb aquesta IA poden haver estat exposades a robatoris de dades corporatives i informació sensible sense detectar. Això pot comprometre la seguretat dels seus actius digitals i la privacitat dels seus clients, especialment si depenen de Gemini per a la gestió de dades o assistència en entorns cloud. La reparació de Google és clau per evitar possibles intrusions i pèrdues econòmiques derivades d’aquests atacs.

Impacte ciutadans

Els usuaris particulars que utilitzen serveis amb Gemini podrien haver patit la filtració silenciosa de dades personals, com informació guardada i ubicacions, sense cap senyal visible d’atac. Això posa en risc la seva privacitat i pot facilitar atacs de phishing o suplantació d’identitat. Tot i que Google ha corregit les vulnerabilitats, és important que els usuaris mantinguin actualitzats els seus sistemes i siguin cautelosos amb les dades que comparteixen en plataformes d’IA.

Accions immediates

Actualitzar a la darrera versió de Google Gemini i serveis associats
Revisar i reforçar les polítiques de seguretat en l’ús d’eines d’IA i cloud

Mesures preventives

Implementar controls d’encriptació client-side per protegir dades sensibles
Formar els usuaris i administradors sobre riscos d’injecció de prompts i manipulació d’IA