谷歌Gemini助手被曝重大安全漏洞:日常邮件和日历邀请可被利用发起攻击

以色列研究人员近日发布的一项研究显示，谷歌的 Gemini 助手可能存在重大安全漏洞，攻击者无需高深技术，仅通过隐藏在日常内容中的简单指令，就能利用 Gemini 助手获取敏感数据，甚至远程控制物理设备。

这项名为“只需邀请（Just an Invite）”的新研究表明，基于 Gemini 的助手易遭受所谓的“定向提示软件攻击”。与传统的黑客攻击不同，这类攻击不要求直接访问 AI 模型或具备技术专长，而是将恶意指令隐藏在看似无害的电子邮件、日历邀请或共享文档中。当用户在 Gmail、Google 日历或 Google 助理中寻求 Gemini 帮助时，这些隐藏的指令就会被激活并执行。

该研究团队在演示中展示了这种攻击的严重性。攻击者可以利用修改后的 Gmail 信息或 Google 日历邀请，控制智能家居设备、录制 Zoom 通话，甚至追踪用户位置。通过一些看似无害的词语，如“谢谢”或“太棒了”，研究人员成功地远程关闭了电灯、打开了窗户，甚至启动了家用锅炉。

谷歌大模型Gemini

多重攻击风险，安全漏洞亟待解决
研究人员概述了五种潜在的攻击类型和14种现实场景，这些攻击可能同时危害数字和物理系统。其中包括:

短期上下文中毒:攻击者在短期内通过恶意指令影响 Gemini 的响应。

长期操纵存储数据:利用 Gemini 的数据存储功能，长期操控信息。

利用内部工具:滥用 Gemini 内部工具实现恶意目的。

升级至其他谷歌服务:通过 Gemini 渗透到 Google Home 等其他谷歌服务。

启动第三方应用:在安卓设备上远程启动 Zoom 等第三方应用。

谷歌推出修复措施以应对威胁
研究人员使用 TARA 风险分析框架对这些威胁进行了评估，发现 73% 的威胁属于“高危”类别。这表明这类攻击不仅简单易行，而且后果严重，凸显了加强安全措施的紧迫性。自 GPT-3以来，安全专家就已意识到大型语言模型（LLM）的漏洞，例如简单的“忽略先前指令”提示就能绕过安全防护。该研究进一步证实，即使是当今最先进的 AI 模型，也仍然存在这些漏洞。

谷歌在2025年2月获悉了这些漏洞后，已实施多项安全措施进行修复，包括强制用户确认敏感操作、加强可疑 URL 的检测和过滤，以及使用新的分类器来捕捉间接提示注入。谷歌表示，已在所有 Gemini 应用中启用这些防御措施，并完成了内部测试。

这项研究由特拉维夫大学、以色列理工学院和安全公司 SafeBreach 的团队共同完成。