Gemini обманули невидимыми символами: ИИ сам добавляет бэкдоры в код

19.08.2025

Исследователи продемонстрировали, что новые модели Gemini уязвимы к атакам через скрытые Unicode Tag-символы. Эти символы не отображаются в интерфейсе, но считываются моделью как часть запроса. В результате ИИ начинает выполнять невидимые для пользователя команды, что превращает привычный тикет или комментарий в GitHub в инструмент скрытой компрометации кода.

Особенно уязвимы цепочки «агент — инструменты», где план действий формируется и выполняется автоматически. В одной из демонстраций в GitHub Issues использовался тикет с видимой просьбой добавить комментарий. Но вместе с ней шли незаметные строки, которые заставили агента Google Jules встроить в проект бэкдорную функцию, собрать двоичный файл и запустить его — всё это произошло без участия человека.

Опасность усиливается новой функцией назначения задач в GitHub через тегирование «jules». При использовании такого тега текст тикета целиком отправляется в агентскую воронку вместе с невидимыми подсказками. Пользователь не видит этих вставок в UI, но модель воспринимает их как обязательные инструкции. Эксперты подчёркивают: вероятность срабатывания не стопроцентная, однако развитие моделей начиная с релиза Gemini 2.5 заметно повышает эффективность таких атак.

Рекомендации сводятся к классическим принципам «zero trust» для ИИ: не давать агентам доступ к приватным репозиториям и секретам, не поручать им обработку тикетов из непроверенных источников, внимательно проверять автоматически сформированные планы и диффы кода перед слиянием.

Исследователи уведомили Google о проблеме ещё в феврале 2024 года, а о рисках для Jules — в мае 2025-го. Но пока исправлений на уровне модели и API не видно, и угроза сохраняется для всех интеграций Gemini. Невидимые команды делают атаку особенно коварной: пользователь уверен, что видит полный запрос, тогда как ИИ выполняет скрытые инструкции, способные внедрить бэкдоры или запустить произвольный код.