Gemini под огнем: уязвимость в Chrome, тысячи открытых API-ключей и использование ИИ во вредоносном ПО

В браузере Google Chrome обнаружили автоматическую загрузку локальной ИИ-модели Gemini без отдельного запроса согласия пользователя. Файл объемом около 4 ГБ размещается в системной папке и используется для работы встроенных ИИ-функций. Модель активируется при использовании сервисов Google, а соответствующие параметры включены по умолчанию.

Отмечается, что при внедрении функций, связанных с обработкой пользовательской информации, требуется получение информированного согласия. С технической точки зрения интеграция локальной модели в браузер создает дополнительные риски: теоретически она может иметь доступ к содержимому вкладок, истории просмотров, cookie-файлам, введенным данным и локальным файлам при отсутствии ограничений доступа. В случае несанкционированной обработки это способно привести к утечке персональной и конфиденциальной информации.

Параллельно исследователи раскрыли уязвимость в механизме работы панели Gemini Live в Chrome — CVE-2026-0628 с оценкой CVSS 8.8. Проблема была связана с недостаточным применением политик безопасности в компоненте WebView, через который загружается веб-приложение gemini.google.com внутри панели браузера.

При определенном наборе разрешений через API declarativeNetRequest вредоносное расширение могло внедрить JavaScript-код в панель Gemini и получить доступ к расширенным возможностям браузера. Это открывало путь к чтению локальных файлов, созданию скриншотов вкладок, активации камеры и микрофона без согласия пользователя, а также к проведению фишинговых атак через сам интерфейс помощника. Уязвимость была устранена в версии Chrome 143.0.7499.192/.193 для Windows и macOS и 143.0.7499.192 для Linux.

Отдельное направление риска связано с API-доступом к Gemini. Исследователи выявили 2863 действующих Google API-ключа, размещенных в публичном коде и потенциально пригодных для доступа к функциям Gemini после включения Generative Language API. Ранее такие ключи считались безопасными для публикации в клиентском коде и использовались для сервисов Google Maps или Firebase, однако с расширением прав фактически стали механизмом аутентификации к ИИ-сервису.

Извлечение ключа из исходного кода позволяло выполнять запросы к Gemini API, получать доступ к загруженным данным и использовать вычислительные ресурсы за счет владельца проекта. При активной эксплуатации ущерб мог достигать тысяч долларов в сутки для одной учетной записи, а исчерпание квот — приводить к остановке легитимных сервисов. После уведомления компания внедрила дополнительные механизмы обнаружения и блокировки утекших ключей.

Еще один инцидент касается использования Gemini в вредоносном ПО. Android-вредонос PromptSpy применяет Google Gemini для закрепления в системе. Он перехватывает данные, делает скриншоты, записывает экран и разворачивает модуль удаленного доступа VNC. Модель используется для получения пошаговых инструкций по обеспечению персистентности приложения, что затрудняет его закрытие пользователем или системой. Таким образом, проблемы вокруг Gemini затрагивают сразу несколько уровней — архитектуру браузера, модель разграничения привилегий, управление API-доступом и появление новых сценариев злоупотребления ИИ в вредоносной активности.

Как отмечает ведущий бизнес-аналитик ГК «Наносемантика» Егор Кириллов, проблема заключается не в самой нейросети, а в несовершенствах её внедрения. В случае с тем же PromptSpy хакеры используют ИИ для анализа чужого экрана — и с тем же успехом мог быть использован ChatGPT. «Gemini везде мелькает просто потому, что Google агрессивно встраивает его в сервисы с миллиардной аудиторией», — отмечает Кириллов.

Gemini не опаснее других моделей по архитектуре, но масштаб распространения создает больше возможностей для потенциальных атак, говорит руководитель направления ИИ в SimbirSoft Илья Фомичев. К продуктам Google в среднем более повышенное внимание — уязвимости обнаруживают и публично раскрывают быстро. Но влияет и интеграция с Chrome — браузером с миллиардной аудиторией.

«Схожие проблемы есть и у других LLM, но они чаще всего развернуты в более изолированных средах. Следовательно, проблема Gemini не в его опасности, а в повсеместности использования и глубине интеграции», — говорит Фомичев.

Как добавляет ведущий специалист отдела по борьбе с уязвимостями ИС «Бастион» Сергей Зыбнев, Gemini также встроен в экосистему Google, которая включает большое количество сервисов — Gmail, Google Drive, Android, корпоративные сервисы. Это обстоятельство безусловно увеличивает поверхность атаки.

«Количество находимых уязвимостей в первую очередь отражает масштаб и скорость внедрения решения — это известная закономерность в кибербезопасности. Но есть еще один фактор: ИИ-системы внедряют значительно быстрее, чем успевают понять их влияние на поверхность потенциальной атаки», — говорит Зыбнев.

Тема безопасности ИИ, по словам Кириллова из «Наносемантики», сейчас выходит на передний план в кибербезопасности. Он приводит в пример международные стандарты OWASP, MITRE ATLAS, а также отмечает, что в ведущих IT-корпорациях работают «красные команды» для тестирования собственных нейросетей до их релиза.