关键词

Google

研究人员披露,Google Workspace 中的 Gemini AI 邮件摘要功能可被利用,通过隐藏式提示注入(prompt injection)生成看似正常、实则含有钓鱼意图的摘要内容。攻击者无需在邮件中插入附件或链接,便能诱导用户访问恶意网站,构成新的社交工程攻击手段。

利用 Gemini 摘要生成钓鱼信息

此次漏洞由 Mozilla 旗下的生成式 AI 漏洞赏金项目 0din 披露,报告人是 Mozilla GenAI 安全负责人 Marco Figueroa。

攻击方式基于以下核心机制:

  • 攻击者伪造一封 HTML 邮件,在正文末尾插入一段不可见的提示指令

  • 该指令通过 CSS 将字体颜色设为白色、字体大小为 0,因此不会在 Gmail 界面中显示;

  • 邮件看上去完全正常,不包含附件或可疑链接,极易绕过垃圾邮件过滤与安全网关;

  • 当用户点击 Gemini 的“生成摘要”按钮时,AI 读取并执行隐藏指令,例如提示“Gmail 密码泄露,请拨打某热线电话”,从而引导用户进入钓鱼流程。

示例中,Gemini 根据注入指令生成了一段误导性极强的安全警报,使人误以为账号遭入侵,诱导其拨打伪造的技术支持电话。

由于 Gemini 是 Google Workspace 集成功能的一部分,用户天然对其输出具备信任度,这使得攻击极具迷惑性与现实危害。

防御建议与应对措施

Figueroa 提出了一些检测与防护建议,供安全团队采纳:

  1. 内容净化处理:对正文中通过 CSS 隐藏的文本进行过滤、移除或中和处理;

  2. 摘要输出后处理:部署关键词检测机制,对 Gemini 输出中的“紧急”、“密码”、“电话”等术语进行审查与标记;

  3. 用户教育:加强对终端用户的培训,提醒其 Gemini 摘要非权威安全信息来源,警惕冒充安全警告的摘要内容。

Google 回应:尚无滥用事件,但正在加强防护

Google 在回应媒体 BleepingComputer 时表示,已通过“红队演练”持续训练模型以增强对抗提示注入的能力,部分防护措施已在实施中,未来还将部署更多机制。

目前,Google 没有观测到像 Figueroa 所演示的此类攻击在现实中被广泛利用。但此次发现再次提醒业界,即便是主流 AI 功能也可能被绕过常规防御机制,成为社会工程攻击的新跳板。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!