શું Google Gemini વાપરવું સુરક્ષિત છે? હેકર્સની નવી ‘ચાલ’થી બચવા માટે જાણો આ 4 ટિપ્સ
આજના ડિજિટલ યુગમાં AI આસિસ્ટન્ટ આપણા જીવનનો અભિન્ન હિસ્સો બની ગયા છે. Google એ તેના AI ટૂલ Geminiને વધુ સ્માર્ટ બનાવવા માટે તેમાં ‘Calendar’ અને અન્ય ગુગલ એપ્સ સુધીની એક્સેસ જેવા ફીચર્સ ઉમેર્યા હતા. તેનો ઉદ્દેશ્ય યુઝર્સને મીટિંગ્સ શેડ્યૂલ કરવા અને ઇવેન્ટ્સ મેનેજ કરવામાં મદદ કરવાનો હતો. પરંતુ હવે આ જ સુવિધા હેકર્સ માટે એક “હથિયાર” બનતી જણાય છે. સુરક્ષા નિષ્ણાતોએ ચેતવણી આપી છે કે હેકર્સ એક ચાલાક પદ્ધતિથી Gemini દ્વારા તમારી અંગત માહિતી સુધી પહોંચી શકે છે.
Gemini અને કેલેન્ડર એક્સેસ: સુવિધા કે સંકટ?
Google Gemini ને તાજેતરમાં Calendar ની એક્સેસ આપવામાં આવી હતી, જેથી તે યુઝર્સને તેમના એપોઈન્ટમેન્ટ્સ, ફ્રી સ્લોટ્સ અને આગામી ઇવેન્ટ્સની માહિતી સીધી ચેટ દ્વારા આપી શકે. આ ફીચર તે લોકો માટે ખૂબ જ ઉપયોગી છે જેઓ વ્યસ્ત રહે છે અને વારંવાર કેલેન્ડર ખોલવા માંગતા નથી.
જોકે, સાયબર સુરક્ષા નિષ્ણાતોનું કહેવું છે કે જ્યારે AI ને ડેટાની આટલી ઊંડી એક્સેસ આપવામાં આવે છે, ત્યારે જોખમો પણ એટલા જ વધી જાય છે. Gemini ભાષા અને સંદર્ભ (Context) ને સમજી શકતું હોવાથી, હેકર્સ આ જ ક્ષમતાનો ખોટો ફાયદો ઉઠાવી રહ્યા છે.
હેકર્સની નવી ટેકનિક: Indirect Prompt Injection
સાયબર સિક્યોરિટી ફર્મ Miggo Security ના સંશોધકોએ એક ખતરનાક ટેકનિકનો ખુલાસો કર્યો છે જેને ‘Indirect Prompt Injection’ કહેવામાં આવે છે. આ ટેકનિક પરંપરાગત હેકિંગ કરતા ઘણી અલગ છે.
-
આ ચાલ કેવી રીતે કામ કરે છે? હેકર્સ યુઝર્સને એક સામાન્ય ‘Google Calendar’ ઇન્વાઇટ મોકલે છે. આ ઇન્વાઇટ બિલકુલ તેવું જ દેખાય છે જેવું કોઈ મિત્ર અથવા ઓફિસના સાથીદારે મોકલ્યું હોય.
-
છુપાયેલા નિર્દેશો: આ ઇન્વાઇટના ‘ડિસ્ક્રિપ્શન’ (Description) બોક્સમાં હેકર્સ એવા નિર્દેશો લખે છે જે કદાચ માણસ ન સમજી શકે, પરંતુ AI તેને સરળતાથી વાંચી અને માની લે છે. આ નિર્દેશો કોઈ પ્રોગ્રામિંગ કોડમાં નથી હોતા, પરંતુ સાદી ભાષામાં હોય છે, જેના કારણે સુરક્ષા ફિલ્ટર્સ પણ તેને ઓળખી શકતા નથી.
યુઝર્સ કેવી રીતે ફસાય છે?
યુઝર્સ કેવી રીતે ફસાય છે?જ્યારે કોઈ યુઝર Gemini ને તેના શેડ્યૂલ વિશે પ્રશ્ન પૂછે છે (દા.ત.- “શું હું કાલે બપોરે 2 વાગ્યે ફ્રી છું?”), ત્યારે Gemini આખા કેલેન્ડરને સ્કેન કરે છે. સ્કેનિંગ દરમિયાન તે પેલા શંકાસ્પદ ઇન્વાઇટ સુધી પણ પહોંચી જાય છે જેમાં હેકર્સના નિર્દેશો છુપાયેલા હોય છે.
જેવું Gemini તે ઇન્વાઇટ વાંચે છે, તે તેમાં છુપાયેલા નિર્દેશોને યુઝર તરફથી આપવામાં આવેલ કમાન્ડ માની લે છે. આ પછી AI બેકગ્રાઉન્ડમાં એવા કામ કરી શકે છે જેની યુઝરને જાણ પણ હોતી નથી, જેમ કે પર્સનલ માહિતી કોઈ બહારના સર્વર પર મોકલવી અથવા મીટિંગ્સનો ડેટા એક્સપોઝ કરવો. બહારથી યુઝરને લાગે છે કે Gemini માત્ર તેનું કેલેન્ડર જોઈ રહ્યું છે, પરંતુ વાસ્તવમાં તે હેકર્સના નિર્દેશોનું પાલન કરી રહ્યું હોય છે.
Googleની પ્રતિક્રિયા અને સુરક્ષા ઉપાયો
Miggo Security દ્વારા આ ખામીની જાણકારી આપ્યા બાદ, Google ની સિક્યોરિટી ટીમ તરત જ હરકતમાં આવી હતી. Google એ આ નબળાઈ સ્વીકારી અને જણાવ્યું કે તેના પર ‘પેચ’ (સુધારો) લાગુ કરી દેવામાં આવ્યો છે.
જોકે, નિષ્ણાતોનું માનવું છે કે આ કિસ્સો એક મોટો પાઠ છે. AI નો ઉપયોગ વધવાની સાથે હવે ‘હ્યુમન લેંગ્વેજ’ નો ઉપયોગ હેકિંગ માટે કરવો એ એક મોટો પડકાર બની ગયો છે. AI આસિસ્ટન્ટ હવે માત્ર કોડથી નહીં, પરંતુ શબ્દોથી પણ ભ્રમિત થઈ શકે છે.
યુઝર્સ માટે સુરક્ષા ટિપ્સ (Safety Tips)
ભલે ગુગલે આ ચોક્કસ ખામીને સુધારી લીધી હોય, પરંતુ ભવિષ્યમાં આવા જોખમોથી બચવા માટે યુઝર્સે નીચેની બાબતો ધ્યાનમાં રાખવી જોઈએ:
-
અજાણ્યા ઇન્વાઇટ્સથી બચો: ક્યારેય પણ કોઈ અજાણી વ્યક્તિ તરફથી આવેલા કેલેન્ડર ઇન્વાઇટને સ્વીકારશો નહીં.
-
AI એક્સ્ટેન્શનની તપાસ કરો: સમયાંતરે તમારા Google એકાઉન્ટમાં જઈને તપાસો કે તમે કઈ એપ્સ અને AI ટૂલ્સને કેલેન્ડર કે ઈમેલની એક્સેસ આપી છે.
-
સંવેદનશીલ માહિતી શેર ન કરો: તમારા કેલેન્ડર ઇવેન્ટ્સ કે ડિસ્ક્રિપ્શનમાં ક્યારેય પણ પાસવર્ડ કે સંવેદનશીલ ડેટા લખશો નહીં.
-
સતર્ક રહો: જો AI આસિસ્ટન્ટ કોઈ વિચિત્ર રીતે જવાબ આપે અથવા પૂછ્યા વગર નવી ઇવેન્ટ્સ બનાવે, તો તરત જ તમારી સેટિંગ્સ તપાસો.
નિષ્કર્ષ
AI ટેકનોલોજી આપણા કામને સરળ બનાવી રહી છે, પરંતુ તેની અમર્યાદિત શક્તિઓ પ્રાઈવસી માટે જોખમ પણ ઉભું કરી શકે છે. Google Gemini ની આ ઘટના સૂચવે છે કે આપણે આપણી ડિજિટલ પ્રાઈવસી પ્રત્યે વધુ જાગૃત રહેવાની જરૂર છે. સુરક્ષા માત્ર કંપનીઓની જવાબદારી નથી, પરંતુ એક જાગૃત યુઝર તરીકે આપણી પણ છે.
