Google Translate на базе Gemini оказался уязвим к атакам через текстовые инъекции
После перехода сервиса Google Translate на модели семейства Gemini в конце 2025 года инструмент перевода оказался уязвим к простому виду атак — так называемой prompt injection. Пользователи обнаружили, что теперь сервис можно заставить не переводить текст, а выполнять произвольные инструкции, встроенные в сам запрос.
Речь идёт о базовом приёме: в поле для перевода вводится текст на иностранном языке, а ниже — дополнительная инструкция на английском, обращённая напрямую к языковой модели. Вместо перевода сервис начинает отвечать на вопрос или выполнять команду. Первым на уязвимость обратил внимание пользователь Tumblr, позднее её обсуждение появилось на форуме LessWrong.
В одном из примеров вместо перевода вопроса о событиях в Пекине 1989 года сервис начал отвечать на него напрямую, игнорируя исходную задачу. Исследователь, известный под псевдонимом Pliny the Liberator, продемонстрировал в соцсети X, что метод позволяет получить и более проблемный контент. С помощью той же техники Google Translate удалось заставить генерировать инструкции по созданию наркотиков и вредоносного программного обеспечения.
Google официально перевёл Google Translate на модели Gemini в декабре 2025 года. Конкретная версия модели публично не раскрывается: сам сервис может указывать Gemini 1.5 Pro, однако эта информация не считается подтверждённой. Переход на крупную языковую модель расширил возможности перевода, но одновременно открыл те же уязвимости, которые уже известны в отношении других LLM-систем.
Суть проблемы заключается в том, что языковая модель воспринимает ввод как единый текст и не всегда различает пользовательскую задачу и скрытую инструкцию. Это делает сервис уязвимым к атакам естественным языком — одной из самых сложных задач в сфере безопасности ИИ.
Подобные инциденты показывают, что даже крупные технологические компании пока не нашли надёжного способа полностью защитить LLM-инструменты от манипуляций через текстовые запросы.