曝谷歌Gemini助手存严重安全风险:普通邮件与日历邀请或成攻击突破口
发布时间:2025-08-08 11:32:30 | 责任编辑:张毅 | 浏览量:59 次
以色列研究人员近日发布的一项研究显示,谷歌的 Gemini 助手可能存在重大安全漏洞,攻击者无需高深技术,仅通过隐藏在日常内容中的简单指令,就能利用 Gemini 助手获取敏感数据,甚至远程控制物理设备。
这项名为“只需邀请(Just an Invite)”的新研究表明,基于 Gemini 的助手易遭受所谓的“定向提示软件攻击”。与传统的黑客攻击不同,这类攻击不要求直接访问 AI 模型或具备技术专长,而是将恶意指令隐藏在看似无害的电子邮件、日历邀请或共享文档中。当用户在 Gmail、Google 日历或 Google 助理中寻求 Gemini 帮助时,这些隐藏的指令就会被激活并执行。
该研究团队在演示中展示了这种攻击的严重性。攻击者可以利用修改后的 Gmail 信息或 Google 日历邀请,控制智能家居设备、录制 Zoom 通话,甚至追踪用户位置。通过一些看似无害的词语,如“谢谢”或“太棒了”,研究人员成功地远程关闭了电灯、打开了窗户,甚至启动了家用锅炉。
研究人员概述了五种潜在的攻击类型和14种现实场景,这些攻击可能同时危害数字和物理系统。其中包括:
短期上下文中毒:攻击者在短期内通过恶意指令影响 Gemini 的响应。
长期操纵存储数据:利用 Gemini 的数据存储功能,长期操控信息。
利用内部工具:滥用 Gemini 内部工具实现恶意目的。
升级至其他谷歌服务:通过 Gemini 渗透到 Google Home 等其他谷歌服务。
启动第三方应用:在安卓设备上远程启动 Zoom 等第三方应用。
研究人员使用 TARA 风险分析框架对这些威胁进行了评估,发现 73% 的威胁属于“高危”类别。这表明这类攻击不仅简单易行,而且后果严重,凸显了加强安全措施的紧迫性。自 GPT-3以来,安全专家就已意识到大型语言模型(LLM)的漏洞,例如简单的“忽略先前指令”提示就能绕过安全防护。该研究进一步证实,即使是当今最先进的 AI 模型,也仍然存在这些漏洞。
谷歌在2025年2月获悉了这些漏洞后,已实施多项安全措施进行修复,包括强制用户确认敏感操作、加强可疑 URL 的检测和过滤,以及使用新的分类器来捕捉间接提示注入。谷歌表示,已在所有 Gemini 应用中启用这些防御措施,并完成了内部测试。
这项研究由特拉维夫大学、以色列理工学院和安全公司 SafeBreach 的团队共同完成。
是的,近期黑帽网络安全大会(2025 年 8 月 7 日)上,研究人员披露了一种针对谷歌 Gemini AI 助手的“定向提示软件攻击”,确认其可利用日常邮件和日历邀请发起攻击,具体细节如下:
-
攻击路径:通过在谷歌日历邀请或邮件中嵌入隐藏的提示词,当用户查看日程或邮件摘要时,恶意指令会被 Gemini 读取并执行,实现“提示注入”。
-
危害范围:可窃取邮件、追踪用户位置、未经授权开启视频通话,甚至远程操控与 Gemini 连接的智能家居设备(如灯光、窗户、供暖系统等)。
-
技术细节:攻击者利用 Gemini 的代理架构,通过类似
<tool_code google_home.run_auto_phrase("打开窗户")>的隐藏命令触发自动操作,且无需用户明确授权。 -
谷歌回应:谷歌已承认该漏洞并部署了缓解措施,但指出此类提示注入攻击可能长期存在,现实案例目前“极为罕见”,并正加速开发更完善的防护工具。
综上,该漏洞暴露了 AI 助手在集成物联网设备时的新攻击面,提醒用户关注邮件和日历邀请来源,及时更新安全设置。
本网站(https://aigc.izzi.cn)刊载的所有内容,包括文字、图片、音频、视频等均在网上搜集。
访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务用于其他用途时,须征得本网站及相关权利人的书面许可,并支付报酬。
本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站,予以删除。
