Gemini теперь сам встраивает бэкдоры в код — достаточно сказать «Добавь комментарий»

Gemini Google уязвимость ИИ Google Jules Prompt Injection
Gemini теперь сам встраивает бэкдоры в код — достаточно сказать «Добавь комментарий»
Gemini Google уязвимость ИИ Google Jules Prompt Injection

Когда UI пуст, а ИИ слышит команды.

image

Специалисты показали , что последние модели Gemini устойчиво принимают скрытые Unicode Tag символы за инструкции — невидимый в интерфейсе текст становится командами для ИИ. Под удар попадают все интеграции на базе Gemini, включая новый агент кодирования Google Jules , недавно вышедший из беты. В контексте темы упоминался и «vscode episode 15», где демонстрировались родственные сценарии с незаметными для пользователя управляющими подсказками.

Ключ к атаке — символы из блока «Tags» в стандарте Unicode, которые не отображаются в UI, но считываются моделью как часть запроса. Описанный сценарий особенно опасен для цепочек «агент — инструменты» с автоматическим выполнением планов. В демонстрации на GitHub Issues использовали простой тикет с видимым требованием «Добавить комментарий “Yolo is awesome” в main». Невидимые строки с командами прятались в том же тексте и, как отмечено авторами, их можно раскрыть внешним декодером вроде ASCII Smuggler . Когда агенту Jules переслали ссылку на этот тикет, система составила план, который по умолчанию был автоматически одобрен, после чего агент добавил бэкдорную функцию в проект, собрал двоичный код и запустил его — вся цепочка прошла без участия человека. Видимые маркеры подмены появлялись в черновике плана: при раскрытии шагов можно было увидеть точные указания на добавление дополнительной функции и запуск кода.

Декодированные скрытые строчки промпта (embracethered)

Отдельная демонстрация 15 августа 2025 года показала, как свежевведённая возможность назначать задачи через тегирование «jules» в GitHub упрощает эксплуатацию. При добавлении такого тега система дословно переносит текст тикета в агентскую воронку — вместе с невидимыми символами. В интерфейсе Jules эти вставки не видны, однако модель воспринимает их как команды и следует им. Авторы подчёркивают, что интерпретация «невидимых» подсказок не гарантирована в 100% случаев, но грамотная инженерия промптов и рост возможностей моделей, начиная с релиза Gemini 2.5 , заметно повышают долю успешных срабатываний.

Рекомендуемые меры сводятся к снижению доверия и строгой ревизии: не давать Jules доступ к приватным репозиториям, секретам и инфраструктуре; не поручать агенту тикеты и данные из недоверенных источников; внимательно читать автоматически сформированный план перед запуском шагов; просматривать диффы и смысл изменений в коде перед слиянием.

Поскольку первопричина кроется в трактовке скрытых тегов, полезно знать специфику самих символов и риски незаметных внедрений в текстах задач и документации. Для базового погружения уместны материалы по блоку «Tags» в стандарте Unicode и обзорам атак «prompt injection» , где подобные техники рассматриваются системно: Unicode Tags описаны на сайте консорциума Unicode, а общие риски «инъекций подсказок» структурированы в руководствах по безопасности LLM . Документация GitHub по задачам и рабочим процессам также пригодится при аудите цепочек передачи данных между issue-трекером и агентами.

Google была уведомлена от уязвимости 22 февраля 2024 года, а о риске для Jules — 26 мая 2025 года. На данный момент авторы не увидели исправлений на уровне модели и API , что делает угрозу актуальной для всех интеграций Gemini сегодня. Невидимые команды усиливают вероятность скрытой компрометации: подсказка не отображается на экране, но напрямую влияет на действия агента — от внесения бэкдоров до запуска инструментов.