以色列研究人員近日發佈的一項研究顯示,谷歌的 Gemini 助手可能存在重大安全漏洞,攻擊者無需高深技術,僅通過隱藏在日常內容中的簡單指令,就能利用 Gemini 助手獲取敏感數據,甚至遠程控制物理設備。

這項名爲“只需邀請(Just an Invite)”的新研究表明,基於 Gemini 的助手易遭受所謂的“定向提示軟件攻擊”。與傳統的黑客攻擊不同,這類攻擊不要求直接訪問 AI 模型或具備技術專長,而是將惡意指令隱藏在看似無害的電子郵件、日曆邀請或共享文檔中。當用戶在 Gmail、Google 日曆或 Google 助理中尋求 Gemini 幫助時,這些隱藏的指令就會被激活並執行。

該研究團隊在演示中展示了這種攻擊的嚴重性。攻擊者可以利用修改後的 Gmail 信息或 Google 日曆邀請,控制智能家居設備、錄製 Zoom 通話,甚至追蹤用戶位置。通過一些看似無害的詞語,如“謝謝”或“太棒了”,研究人員成功地遠程關閉了電燈、打開了窗戶,甚至啓動了家用鍋爐。

谷歌大模型Gemini

多重攻擊風險,安全漏洞亟待解決

研究人員概述了五種潛在的攻擊類型和14種現實場景,這些攻擊可能同時危害數字和物理系統。其中包括:

  • 短期上下文中毒:攻擊者在短期內通過惡意指令影響 Gemini 的響應。

  • 長期操縱存儲數據:利用 Gemini 的數據存儲功能,長期操控信息。

  • 利用內部工具:濫用 Gemini 內部工具實現惡意目的。

  • 升級至其他谷歌服務:通過 Gemini 滲透到 Google Home 等其他谷歌服務。

  • 啓動第三方應用:在安卓設備上遠程啓動 Zoom 等第三方應用。

谷歌推出修復措施以應對威脅

研究人員使用 TARA 風險分析框架對這些威脅進行了評估,發現 73% 的威脅屬於“高危”類別。這表明這類攻擊不僅簡單易行,而且後果嚴重,凸顯了加強安全措施的緊迫性。自 GPT-3以來,安全專家就已意識到大型語言模型(LLM)的漏洞,例如簡單的“忽略先前指令”提示就能繞過安全防護。該研究進一步證實,即使是當今最先進的 AI 模型,也仍然存在這些漏洞。

谷歌在2025年2月獲悉了這些漏洞後,已實施多項安全措施進行修復,包括強制用戶確認敏感操作、加強可疑 URL 的檢測和過濾,以及使用新的分類器來捕捉間接提示注入。谷歌表示,已在所有 Gemini 應用中啓用這些防禦措施,並完成了內部測試。

這項研究由特拉維夫大學、以色列理工學院和安全公司 SafeBreach 的團隊共同完成。