Tools / Neuigkeiten / Ein geteiltes Google-Dokument reichte aus, um still­schweigend alle Gmail-, Kalender- und Drive-Dateien zu stehlen.
Presse

Ein geteiltes Google-Dokument reichte aus, um still­schweigend alle Gmail-, Kalender- und Drive-Dateien zu stehlen.

· VaultTools

Forscher von Noma Security legten am 8. Dezember 2025 'GeminiJack' offen: eine Zero-Click-Schwachstelle in Google Gemini Enterprise, die Angreifern ermöglichte, versteckte Anweisungen in einem geteilten Dokument einzubetten und Geminis KI dazu zu bringen, den gesamten Gmail-, Docs- und Kalender-Datenbestand eines Ziels ohne jede Nutzerinteraktion zu durchsuchen und zu exfiltrieren.

VaultTools · 20. März 2026

Ein Laptop mit Cloud-Datenverbindungen, der die Risiken von KI-verbundenen Dokumententools zur Exfiltration sensibler Dateien symbolisiert. Foto von Leon auf Unsplash

Inhaltsverzeichnis


Was GeminiJack War

Am 8. Dezember 2025 legten Sicherheitsforscher von Noma Security eine Zero-Click-Architektur-Schwachstelle in Google Gemini Enterprise offen, die auch Vertex AI Search betraf. Intern als GeminiJack bezeichnet, erlaubte die Schwachstelle einem Angreifer, Daten aus dem gesamten Gmail-Postfach, der Google-Docs-Bibliothek und dem Google-Kalender eines Ziels still­schweigend zu durchsuchen und zu exfiltrieren, indem er versteckte Anweisungen in ein einziges geteiltes Dokument einbettete.

Google war im Juni 2025 informiert worden. Das Unternehmen schloss die Schwachstelle still­schweigend bis November 2025. Die öffentliche Offenlegung folgte zwei Wochen später, nachdem die Behebung bestätigt war.

Wie Der Angriff Funktionierte

Der Angriff nutzte eine Technik namens Prompt Injection: das Einbetten von Anweisungen, die für ein KI-Modell bestimmt sind, in Inhalte, die wie gewöhnlicher Text oder Metadaten aussehen. Die RAG-Pipeline (Retrieval-Augmented Generation) von Gemini Enterprise erlaubte es, Dokumente abzurufen und zu verarbeiten, die ein Nutzer geteilt oder empfangen hatte, darunter E-Mails, Kalendereinladungen und Dateien in Google Drive.

Ein Angreifer erstellte ein Dokument, eine E-Mail oder einen Kalender­termin mit verstecktem Text, der den Gemini-Assistenten anwies, eine umfangreiche Suche in den Workspace-Daten des Empfängers durchzuführen. Gemini führte die Suche über das Gmail, die Docs und den Kalender des Ziels aus, dem Standardverhalten entsprechend, relevanten Kontext zum Beantworten von Anfragen abzurufen. Anschließend bündelte er die Ergebnisse und übermittelte sie an einen vom Angreifer kontrollierten Server, getarnt als Anfrage zum Laden eines Bildes.

Das Opfer erhielt das geteilte Dokument. Mehr war nicht erforderlich.

Warum Er Unentdeckt Blieb

Der Exfiltrationsmechanismus war darauf ausgelegt, im normalen Browser-Verhalten aufzugehen. Die Retrieval-Pipeline von Gemini ruft beim Generieren von Antworten routinemäßig externe Ressourcen ab. Die ausgehende Datenübertragung war als Bildlade-Anfrage formatiert, eine Art Netzwerkaktivität, die die meisten Unternehmens-Sicherheitsüberwachungs-Tools nicht auf Inhalte überprüfen.

Es wurde kein Alarm ausgelöst. Dem Nutzer oder den Unternehmens-Sicherheits-Dashboards war kein anomales Verhalten sichtbar. Die einzige Möglichkeit, den Angriff im Nachhinein zu erkennen, bestand darin, den Netzwerkverkehr auf einem Granularitätsniveau zu überprüfen, das die meisten Organisationen nicht aufrechterhalten.

Der Zeitplan Der Offenlegung

Noma Security meldete die Schwachstelle im Juni 2025 an Googles Sicherheitsteam. Google bestätigte die Meldung und arbeitete in den folgenden Monaten an der Behebung. Die Lösung bestand darin, die Vertex-AI-Search-Komponente vollständig von der RAG-Pipeline von Gemini Enterprise zu trennen und so zu verhindern, dass der KI-Assistent das Dokumentenabrufsystem auf eine Weise nutzen kann, die durch Drittanbieter-Inhalte ausgelöst werden kann.

Der Patch wurde im November 2025 eingespielt. Noma veröffentlichte am 8. Dezember 2025 die vollständige technische Offenlegung, nachdem bestätigt wurde, dass die Lösung aktiv war. SecurityWeek, Infosecurity Magazine, Dark Reading und Cybernews berichteten über die Offenlegung.

Was Die Schwachstelle Über KI-Dokumententools Offenbart

GeminiJack ist eine präzise Illustration eines strukturellen Risikos, das entsteht, wenn KI-Assistenten mit Cloud-Dokumenten-Repositorys verbunden werden. Der Angriff erforderte keine Schwachstelle in Googles Verschlüsselung, keinen Einbruch in seine Authentifizierung und keine Kompromittierung seiner Infrastruktur. Er erforderte lediglich, dass Gemini Zugang zu den Dokumenten des Nutzers hatte und dass ein geteiltes Dokument das Verhalten von Gemini beeinflussen konnte.

Beide Voraussetzungen sind Kernfunktionen, keine Fehler. Ein KI-Assistent, der Dokumente lesen und auf darin eingebettete Anweisungen reagieren kann, funktioniert wie vorgesehen. Die Schwachstelle lag nicht in diesen Verhaltensweisen einzeln, sondern in ihrer Kombination: eine KI, die Dokumente in großem Maßstab liest, in diesen Dokumenten eingebettete Anweisungen verarbeitet und ausgehende Netzwerkanfragen stellen kann.

Cloud-basierte Datei- und Dokumententools integrieren zunehmend KI-Funktionen, die mit umfangreicheren Workspace-Daten verbunden sind. Jede solche Verbindung schafft eine potenzielle Prompt-Injection-Angriffsfläche. Ein von einem nicht vertrauenswürdigen Absender eingehendes Dokument ist nicht mehr nur Text, der von einem Menschen gelesen werden soll: Es ist ein Eingabedatum, auf das ein KI-System über den gesamten Datencorpus des Nutzers hinweg handeln kann.

Browser-basierte Dateiverarbeitung eliminiert diese Angriffsfläche durch Design. Ein Tool, das in einem Browser-Tab per WebAssembly läuft, hat keine dauerhafte Verbindung zu einem Dokument-Corpus, keinen KI-Assistenten, der verwandte Dateien abruft, und keinen ausgehenden Netzwerkpfad für exfiltrierte Inhalte. Die Datei wird isoliert verarbeitet und auf die Festplatte zurückgeschrieben. Die architektonischen Beschränkungen, die lokale Verarbeitung privat machen, sind dieselben, die Prompt Injection unmöglich machen.


Quellen