När kalenderinbjudan blir ett intrång – ny attack mot Google Gemini från Black Hat 2025

En förgiftad kalenderinbjudan som tar över ditt smarta hem? På hackerkonferensen Black Hat 2025 visade forskare hur Googles AI-assistent Gemini kan manipuleras till att utföra oväntade och potentiellt skadliga åtgärder – allt via en mötesbokning med oskyldigt utseende. Denna attack, kallad indirect prompt injection, suddar ut gränsen mellan digitala och fysiska hot. 

Bakgrunden: från AI-hjälp till attackvektor 

Google Gemini är tätt integrerat med en rad tjänster i Google-ekosystemet – däribland Google Calendar, Gmail och smarta hem-enheter via Google Home. Denna täta integration är praktisk för användaren, men innebär också att AI-modellen får tillgång till både personlig information och styrkommandon för uppkopplade enheter. 

Forskarteamet identifierade att kalenderinbjudningar kan bära på mer än bara mötestider och ämnesrader. Genom att placera dolda instruktioner i inbjudningstexten kunde man lura Gemini att utföra handlingar som användaren aldrig uttryckligen bett om. 

Så fungerar attacken 

1. Förgiftad inbjudan – Angriparen skickar en Google Calendar-inbjudan med dold text som innehåller särskilda instruktioner riktade mot Gemini. Texten är formulerad så att den ignoreras av människor men förstås som kommandon av AI-modellen.
   
   
2. Oskadlig begäran från användaren – Offret ber Gemini sammanfatta sitt schema eller ge information om sina möten. 
   
   
3. Trigger – När Gemini bearbetar kalenderinnehållet följer den de dolda instruktionerna. Detta kan triggas av vardagliga svar som “Tack” eller “Okej”.
   
   
4. Utförande – AI:n utför kommandona, exempelvis att tända lampor, höja värmen, boka möten, skicka e-post eller öppna fönster via smarta hem-integrationer. 

Forskarna demonstrerade totalt 14 olika attackscenarier, från fysiska effekter i hemmet till informationsstölder och social manipulation. 
 

Konsekvenserna i praktiken 

Att angripare kan utnyttja en kalenderinbjudan för att styra uppkopplade enheter innebär att gränsen mellan digital och fysisk säkerhet suddas ut. Exempelvis kan: 

• Lampor och annan belysning tändas/släckas för att signalera eller distrahera.
  
  
• Fönster eller dörrar som är kopplade till smarta system öppnas. 
  
  
• Värmen justeras för att skapa obehag eller påverka energiförbrukning.
  
  
• Möten bokas i offrets namn för social ingenjörskonst.
   

Googles svar 

Google fick kännedom om sårbarheten redan i februari 2025 och har sedan dess infört flera skyddsåtgärder: 

• Filtrering och maskininlärning för att upptäcka misstänkta prompts.
  
  
• Ytterligare användarbekräftelse innan känsliga åtgärder, såsom styrning av smarta enheter, utförs.
  
  
• Förbättrad intern hantering av AI-genererade instruktioner. 

Google betonar att attacker av detta slag är ovanliga, men erkänner att det krävs flerskiktade försvar för att minimera riskerna. 

Lärdomar och reflektion 

Denna incident är ett tydligt exempel på hur AI-drivna assistenter med agent-funktionalitet kan bli måltavlor för attacker som utnyttjar deras tillgång till andra system. I takt med att AI-integrationerna växer behöver vi: 

• Kartlägga nya potentiella ingångsvägar.
  
  
• Införa striktare bekräftelsekedjor för åtgärder som kan påverka fysisk miljö. 
  
  
• Utbilda användare i att förstå att till synes oskyldiga dataflöden kan bära på dolda kommandon. 

För organisationer innebär detta att säkerhetsgranskning av AI-integrationer inte längre är en framtidsfråga – det är en viktig del av dagens hotlandskap. 

För den som vill läsa mer rekommenderas rapporteringen från Wired och TechRadar.