- Los expertos advierten que una entrada en un solo calendario puede secuestrar silenciosamente su hogar inteligente sin su conocimiento
- Los investigadores demostraron que la IA puede ser pirateada para controlar los hogares inteligentes utilizando solo palabras
- Decir “gracias” disparó a Gemini para encender las luces y hervir el agua automáticamente
La promesa de las casas integradas de AI ha incluido durante mucho tiempo la conveniencia, la automatización y la eficiencia, sin embargo, un nuevo estudio de investigadores de la Universidad de Tel Aviv ha expuesto una realidad más inquietante.
En lo que puede ser el primer ejemplo conocido del mundo real de un exitoso ataque de inyección de inmediato de IA, el equipo manipuló una casa inteligente con Gemini usando nada más que una entrada comprometida de Google Calendar.
El ataque explotó la integración de Gemini con todo el ecosistema de Google, particularmente su capacidad para acceder a eventos calendario, interpretar indicaciones de lenguaje natural y controlar dispositivos inteligentes conectados.
Desde la programación hasta el sabotaje: explotar el acceso a la IA cotidiano
Gemini, aunque limitado en autonomía, tiene suficientes “capacidades de agente” para ejecutar comandos en sistemas de inicio inteligente.
Esa conectividad se convirtió en una responsabilidad cuando los investigadores insertaron instrucciones maliciosas en una cita de calendario, enmascarada como un evento regular.
Cuando el usuario luego le pidió a Gemini que resumiera su horario, inadvertidamente activó las instrucciones ocultas.
El comando incrustado incluía instrucciones para que Géminis actuara como agente de origen de Google, que se tumbaba hasta que el usuario escribiera una frase común como “gracias” o “seguro”.
En ese momento, Gemini activó dispositivos inteligentes como luces, persianas e incluso una caldera, ninguna de las cuales el usuario había autorizado en ese momento.
Estos desencadenantes retrasados fueron particularmente efectivos para evitar las defensas existentes y confundir la fuente de las acciones.
Este método, denominado “aviso”, plantea serias preocupaciones sobre cómo las interfaces de IA interpretan la entrada del usuario y los datos externos.
Los investigadores argumentan que tales ataques de inyección inmediata representan una clase creciente de amenazas que combinan la ingeniería social con la automatización.
Demostraron que esta técnica podría ir mucho más allá de los dispositivos de control.
También podría usarse para eliminar citas, enviar spam o abrir sitios web maliciosos, pasos que podrían conducir directamente al robo de identidad o la infección por malware.
El equipo de investigación coordinó con Google para revelar la vulnerabilidad y, en respuesta, la compañía aceleró el lanzamiento de nuevas protecciones contra los ataques con inyección inmediata, incluido el escrutinio adicional para los eventos calendario y confirmaciones adicionales para acciones sensibles.
Aún así, quedan preguntas sobre cuán escalables son estas correcciones, especialmente a medida que Gemini y otros sistemas de IA obtienen más control sobre los datos y dispositivos personales.
Desafortunadamente, las suites de seguridad tradicionales y la protección del firewall no están diseñados para este tipo de vector de ataque.
Para mantenerse seguros, los usuarios deben limitar a qué herramientas de IA y asistentes como Gemini pueden acceder, especialmente calendarios y controles inteligentes para el hogar.
Además, evite almacenar instrucciones sensibles o complejas en eventos calendario, y no permita que la IA actúe sobre ellas sin supervisión.
Esté alerta al comportamiento inusual de los dispositivos inteligentes y desconecte el acceso si algo parece apagado.
Vía cableado
