以色列科研团队近日发布的一项突破性研究揭示了谷歌 Gemini 助手存在的重大安全隐患,该漏洞可能被攻击者轻易利用,无需任何高深技术,仅需通过日常内容中隐藏的简单指令,即可非法获取敏感数据,甚至实现远程操控物理设备。这项名为“只需邀请(Just an Invite)”的全新研究指出,基于 Gemini 的智能助手极易遭受“定向提示软件攻击”。这种攻击方式与传统黑客手段截然不同,无需直接接触 AI 模型或具备专业技术,而是将恶意指令巧妙伪装在看似无害的电子邮件、日历邀请或共享文档中。当用户在 Gmail、Google 日历或 Google 助理中寻求 Gemini 帮助时,这些隐藏的指令便会自动激活并执行恶意操作。
研究团队通过实验直观展示了该漏洞的严重威胁。攻击者能够利用经过篡改的 Gmail 信息或 Google 日历邀请,实现对智能家居设备的完全控制、强制录制 Zoom 通话,甚至精准追踪用户实时位置。令人震惊的是,仅通过一些日常用语如“谢谢”或“太棒了”,研究人员就成功远程关闭了电灯、开启窗户,甚至启动了家用锅炉等关键设备。这种攻击方式对用户隐私和人身安全构成了严重威胁。
研究人员详细梳理了五种潜在的攻击类型和十四种现实应用场景,这些攻击可能同时危害数字系统和物理设备。具体包括:短期上下文中毒攻击,通过短期恶意指令干扰 Gemini 的正常响应;长期操纵存储数据,利用 Gemini 的数据存储功能进行长期信息操控;内部工具滥用,通过非法使用 Gemini 内部工具达成恶意目的;升级至其他谷歌服务,利用 Gemini 作为跳板渗透 Google Home 等其他谷歌服务;以及远程启动第三方应用,在安卓设备上远程操控 Zoom 等第三方应用。
通过 TARA 风险分析框架评估显示,73% 的威胁被归类为“高危”类别,这表明此类攻击不仅实施简单,更可能造成灾难性后果,亟需采取紧急安全措施。自 GPT-3 问世以来,安全专家就已注意到大型语言模型(LLM)存在的漏洞,例如简单的“忽略先前指令”提示就能绕过安全防护机制。该研究进一步证实,即便是目前最先进的 AI 模型,仍存在这些致命缺陷。
谷歌在 2025 年 2 月获悉这些漏洞后,迅速采取行动实施多项修复措施,包括强制用户确认敏感操作、强化可疑 URL 的检测与过滤,以及部署新型分类器捕捉间接提示注入行为。谷歌表示,已在全国 Gemini 应用中全面启用这些防御机制,并完成了严格的内部测试。这项研究由特拉维夫大学、以色列理工学院和安全公司 SafeBreach 的联合研究团队共同完成,其成果将对 AI 安全领域产生深远影响。
