谷歌旗下大型语言模型助手Gemini近期被曝存在新型安全漏洞,攻击者可通过精心构造的日历邀请窃取用户隐私数据。该漏洞由应用检测与响应平台Miggo Security的研究团队发现,其核心机制在于利用自然语言指令绕过现有防护体系,直接触发模型执行恶意操作。
作为集成于Gmail、日历等谷歌服务的核心AI工具,Gemini具备邮件处理、日程管理等办公功能。研究人员演示的攻击流程显示,攻击者首先向目标用户发送包含恶意载荷的日历邀请,将提示词注入指令隐藏在事件描述字段中。当用户通过Gemini查询日程安排时,模型会自动解析所有事件数据,包括被植入恶意指令的条目。
具体攻击路径包含三步操作:首先要求模型汇总特定日期的所有会议记录,其次指令其创建包含汇总内容的新事件,最后通过看似无害的提示词完成数据外传。由于Gemini的推理机制会主动提取日程信息进行服务响应,攻击者得以利用这一特性植入自然语言指令,诱导模型在后续流程中自动执行恶意操作。
实验表明,即使指令可能产生危害后果,但通过控制日程描述字段的表述方式,仍可成功欺骗Gemini的防护系统。被触发后,模型会创建新日程并将用户私人会议信息写入描述字段,这些数据在多数企业环境中会对所有参会者可见,导致敏感信息泄露。
Miggo研究主管利亚德·埃利亚胡指出,尽管谷歌为Gemini配置了独立隔离的恶意提示词检测模型,但此次攻击仍突破防线。关键原因在于植入的指令在语法层面无明显异常,能够规避现有基于关键词匹配的安全预警机制。这种攻击方式延续了2025年8月SafeBreach公司披露的同类漏洞特征,证明即便谷歌后续加强防护,模型推理功能仍存在可被操控的薄弱环节。
目前谷歌已根据Miggo的通报新增防护措施,包括强化日程事件描述字段的上下文分析。但研究团队强调,对于采用自然语言驱动的AI系统,传统语法检测手段已难以应对新型攻击。他们建议安全体系需向语义理解层面升级,通过分析指令执行逻辑而非单纯检测关键词来识别潜在威胁。
此次漏洞验证揭示出更深层的安全挑战:当AI系统的交互接口采用模糊意图的自然语言时,攻击者可通过构造语义陷阱实现操控。这种攻击模式不仅适用于日历服务,理论上可扩展至所有依赖文本解析的AI应用场景,为网络安全防护带来全新课题。
