ফিশিং আক্রমণের জন্য ব্যবহার হতে পারে গুগলের ‘এআই সামারি’ ফিচার

ফোন, গাড়ি এমনকি ওয়াশিং মেশিন কৃত্রিম বুদ্ধিমত্তা এখন প্রায় সবখানেই। অনেকের কাছে এটি বাড়াবাড়ি মনে হলেও বাস্তবতা হচ্ছে কৃত্রিম বুদ্ধিমত্তা বা এআই আমাদের জীবনকে সহজ করে তুলেছে। কাজের গতি বাড়ানো থেকে শুরু করে নতুন নতুন টুল ব্যবহারের সুযোগ, সবকিছুই বদলে দিচ্ছে এই প্রযুক্তি।

এআইয়ের সবচেয়ে পরিচিত ধরন হলো জেনারেটিভ এআই যেমন চ্যাটজিপিটি। তবে এটি যতটা উপকারী হিসেবে কাজ করছে তার চেয়ে কোন অংশেই কম সমস্যা বয়ে আনছে না বলে প্রতিবেদনে লিখেছে ফক্স নিউজ।

গুগল ওয়ার্কস্পেসে থাকা জেমিনাই নামের এআই মডেল নিয়ে এবার নতুন সতর্কতা দিয়েছেন গবেষকরা। তাদের মতে, হ্যাকাররা চাইলে জেমিনাইয়ের তৈরি ইমেইল সারাংশে লুকানো ফিশিং নির্দেশনা ঢুকিয়ে দিতে পারে।

জেমিনাই সারাংশ যেভাবে হ্যাক হতে পারে

মজিলার জিরো ডে ইনভেস্টিগেটিভ নেটওয়ার্কের গবেষকরা গুগলের ওয়ার্কস্পেসে ব্যবহার করা জেমিনাই এআইতে বড় ধরনের দুর্বলতা খুঁজে পেয়েছেন। এই দুর্বলতা কাজে লাগিয়ে হ্যাকাররা ইমেইলের সারাংশে লুকিয়ে থাকা নির্দেশনা ঢুকিয়ে দিতে পারে।

গবেষক মার্কো ফিগুয়েরোয়ার খুঁজে বের করা এই কৌশলকে ‘ইনডাইরেক্ট প্রম্পট ইনজেকশন’ বলা হয়। এতে ইমেইলের ভেতরেই অদৃশ্য কমান্ড ঢোকানো হয়। এইচটিএমএল ও সিএসএস ব্যবহার করে লেখাকে এমনভাবে সাজানো হয় ফন্ট সাইজ শূন্য করে দেওয়া হয়, রং সাদা করা হয় যাতে এগুলো খালি চোখে না পড়ে। কিন্তু জেমিনাই সারাংশ তৈরি করার সময় সেই লুকানো নির্দেশনা বুঝে নিয়ে কাজ করে ফেলে।

এই পদ্ধতিতে কোনো সন্দেহজনক লিংক বা এটাচমেন্টের দরকার হয় না। ব্যবহারকারী যখন ইমেইলের সারাংশ চাইবে তখন জেমিনাই ভুলভাবে ভুয়া সিকিউরিটি এলার্ট বা জরুরি বার্তা দেখাতে পারে।

গবেষকদের পরীক্ষায় জেমিনাই একবার ব্যবহারকারীকে বলে যে তার জিমেইল পাসওয়ার্ড ফাঁস হয়ে গেছে এবং একটি ভুয়া সাপোর্ট নাম্বার দেয়। যেহেতু এই সারাংশ সরাসরি গুগল ওয়ার্কস্পেসের ভেতরে আসে, ব্যবহারকারীরা সেটাকে বিশ্বাস করে বসতে পারেন। আর এটাই হ্যাকারদের জন্য সবচেয়ে কার্যকর কৌশল।

গুগল কী করছে?

গুগল ২০২৪ সাল থেকে প্রম্পট ইনজেকশন ঠেকাতে বিভিন্ন সুরক্ষা ব্যবস্থা চালু করেছে, তবে নতুন এই কৌশল বর্তমান প্রতিরক্ষা এড়িয়ে যেতে পারে। কোম্পানিটি মার্কিন সাংবাদিক সাইবারগাই-এর কাছে বলেছে, দ্রুতই আপডেটেড সুরক্ষা ব্যবস্থা চালু হচ্ছে।

এক বিবৃতিতে গুগলের মুখপাত্র বলেন, “শিল্পখাত জুড়ে প্রভাব ফেলতে পারে এমন আক্রমণ, যেমন প্রম্পট ইনজেকশন এসবের বিরুদ্ধে প্রতিরক্ষা আমাদের অগ্রাধিকার। ব্যবহারকারীদের নিরাপদ রাখতে আমরা শক্তিশালী বিভিন্ন সুরক্ষা ব্যবস্থা চালু করেছি, যার মধ্যে বিভ্রান্তিকর বা ক্ষতিকর প্রতিক্রিয়া ঠেকানোর সুরক্ষা ব্যবস্থা রয়েছে। নিয়মিত রেড-টিমিং এক্সারসাইজের মাধ্যমে আমাদের মডেলকে এমন প্রতিকূল আক্রমণ ঠেকানোর জন্য প্রশিক্ষণ দেওয়া হয়।”

গুগল আরও নিশ্চিত করেছে, এই কৌশল ব্যবহার করে কোনো সক্রিয় আক্রমণের প্রমাণ এখনো মেলেনি।