Gemini kunne kapres via meldingsvarsler

SafeBreach Labs har publisert detaljer om en angrepsklasse som traff et ømt punkt i moderne AI-assistenter: De lytter ikke bare til brukeren. De leser også kontekst fra andre apper.

Forskerne kaller teknikken Fake Context Alignment. Kortversjonen er enkel nok til å være ubehagelig. En angriper sender en melding via en vanlig kanal som WhatsApp, Slack, SMS, Signal, Instagram eller Messenger. Meldingen ser uskyldig ut for mottakeren. Men når brukeren ber Gemini Voice Assistant lese opp varslene, kan skjulte instruksjoner gli inn i assistentens samtalekontekst.

Det er ikke klassisk skadevare. Det er heller ikke et passord som stjeles direkte. Det er en tillitsfeil mellom meldingskanal, varslingssystem og AI-assistent. Gemini behandler innhold som relevant kontekst, selv om instruksjonen ikke kommer fra brukeren.

SafeBreach sier sårbarheten ble rapportert til Google i august 2025, og at Google i november forbedret innholdsfiltre som skulle mitigere scenariene. Det gjør saken mindre akutt som patch-varsel. Men den er viktigere som designvarsel. Stadig flere bedrifter bygger stemmeassistenter, kundeboter og interne agenter som leser e-post, chat, dokumenter og varsler før de handler. Da blir indirekte prompt injection en reell styringsrisiko, ikke bare en lab-demo.

Varsler blir kommandoflate

Angrepet utnytter at en stemmeassistent får mer autoritet når den integreres dypere i mobilen. Den kan lese varsler. Den kan svare. Den kan åpne apper. Den kan kobles til smarthjem og møter. SafeBreach demonstrerte blant annet scenarier der assistenten kunne styre Google Home-enheter, starte Zoom-video, lage meldinger som så ut til å komme fra betrodde kontakter, og forgifte assistentens langtidsminne.

Det mest relevante for virksomheter er ikke om akkurat Gemini er lappet. Det relevante er mønsteret: Når AI-assistenten får tilgang til flere kanaler, får angriperen flere steder å plante instruksjoner. Meldinger, kalenderinvitasjoner, dokumentkommentarer, bildefelt og supportnotater kan bli en del av modellens arbeidsflate.

For brukeren høres det fortsatt ut som en normal samtale. Det er poenget. SafeBreach beskriver teknikker der kommandoer skjules i fremmedspråk eller i dempede lenker som assistenten prosesserer, men ikke nødvendigvis leser opp. Brukeren får ikke samme mulighet til å oppdage angrepet som ved en synlig phishing-lenke.

Hvorfor CIO og CISO bør bry seg

Dette er et tidlig bilde av hvordan AI-agenter vil feile i produksjon. De gamle grensene mellom data, instruksjon og handling blir uklare. Et varsel kan være både tekst, kontekst og kommando. En e-post kan være både saksgrunnlag og angrepsvektor. En chatmelding kan være både informasjon og styringssignal.

Det treffer særlig tre områder.

Først: mobile arbeidsflater. Mange ledere og ansatte bruker allerede AI på telefonen. Når assistenter kobles til kalender, meldinger, møter og dokumenter, bør virksomheten vite hvilke handlinger som krever eksplisitt bekreftelse, og hvilke som kan utføres automatisk.

Deretter: smarthjem og fysisk miljø. SafeBreach viser at konsekvensene ikke stopper ved tekst. Når assistenten kan styre enheter, møter og kamera, blir prompt injection en bro mellom digital kontekst og fysisk handling. For bedrifter peker det mot samme problem i møterom, resepsjoner, lager, helsebygg og driftssentraler.

Til slutt: agentminne. Hvis en angriper kan påvirke hva assistenten husker om brukeren, blir angrepet mer seigt. Det holder ikke å stoppe én kommando. Man må også forstå om modellen eller agentlaget har lagret feil instruksjoner, preferanser eller tillitssignaler.

Hva virksomheter bør gjøre nå

Dette er ikke et argument for å skru av AI-assistenter. Det er et argument for strengere grenseflater. AI-systemer som leser fra én kanal og handler i en annen, må behandles som integrasjoner med privilegier.

Det betyr at varslingsinnhold fra eksterne avsendere ikke bør få samme tillit som brukerens direkte kommando. Handlinger med konsekvens bør ha eksplisitt bekreftelse. Agentminne bør være synlig, reviderbart og mulig å slette. Og sikkerhetstesting av AI-agenter må inkludere indirekte prompt injection på tvers av kanaler, ikke bare testing av selve chatvinduet.

For norske virksomheter er læringen ganske nøktern: AI-assistenten må ikke få bli en usynlig superbruker. Hvis den leser meldinger, må den også forstå at meldinger kan være fiendtlige. Hvis den kan utføre handlinger, må handlingene være policy-styrt. Og hvis den bygger minne, må minnet kunne granskes.

Google har ifølge SafeBreach mitigert de konkrete Gemini-scenariene. Men designrisikoen forsvinner ikke med én leverandørpatch. Den følger alle som bygger agentiske assistenter på toppen av e-post, chat, kalender og mobilvarsler.

Kilder og medier

Primærkilde: SafeBreach Labs, "Gemini’s Secret Affair: Exploiting Gemini Voice Assistant Through Instant Messaging Apps", publisert 3. juni 2026. Source URL: https://www.safebreach.com/blog/gemini-voice-assistant-prompt-injection-exploit

Sekundær kilde: SecurityWeek, "Gemini Voice Assistant Hijacked via Messaging Notifications", publisert 4. juni 2026. URL: https://www.securityweek.com/gemini-voice-assistant-hijacked-via-messaging-notifications/

Thumbnail: OpenAI Image 2 / hogby.ai