研究人员使用自然语言指令绕过了 Google Gemini 的防御,创建误导性事件来泄露私人日历数据。此方法允许攻击者通过日历事件描述泄露敏感数据。 Gemini 是 Google 的法学硕士助手,集成了 Google 网络服务和 Gmail 和日历等 Workspace 应用程序。
基于 Gemini 的日历邀请攻击首先向目标发送事件邀请,其描述中包含提示注入有效负载。当受害者向 Gemini 询问他们的日程安排时,就会触发渗透活动。这会导致助手加载并解析所有相关事件,包括攻击者有效负载的事件。
Miggo Security(一家应用程序检测与解决方案公司)的研究人员Response (ADR) 平台发现他们可以通过提供自然语言指令来欺骗 Gemini 泄露日历数据。其中包括:总结特定日期的所有会议,包括私人会议;使用该摘要创建一个新的日历事件;并用无害的消息响应用户。
研究人员解释说,“由于 Gemini 自动摄取和解释事件数据是有帮助的,因此能够影响事件领域的攻击者可以植入模型稍后可以执行的自然语言指令。”他们发现,控制事件的描述字段可以嵌入 Google Gemini 会遵守的提示,即使会产生有害的结果。
恶意邀请的有效负载将保持休眠状态,直到受害者向 Gemini 询问有关其日程安排的常规问题。执行恶意日历邀请中的嵌入指令后,Gemini 会创建一个新事件。它将私人会议摘要写入此新活动的描述中。在许多企业设置中,更新的描述对事件参与者可见,这可能会将敏感信息泄露给攻击者。
Miggo 指出,谷歌采用了一种单独的、隔离的模型来检测主要 Gemini 助手中的恶意提示。然而,他们的攻击绕过了这个故障保护,因为指令看起来是安全的。通过恶意日历事件标题进行的提示注入攻击并不新鲜。 2025 年 8 月,SafeBreach 演示了恶意 Google 日历邀请可以利用 Gemini 代理泄露敏感用户数据。
Miggo 研究主管 Liad Eliyahu 告诉 BleepingComputer,尽管 Google 在 SafeBreach 报告后实施了额外的防御措施,但新的攻击表明 Gemini 的推理能力仍然容易受到操纵。 Miggo 与谷歌分享了其发现,谷歌随后又增加了新的缓解措施。 Miggo 的攻击概念凸显了在由意图不明确的自然语言驱动的人工智能系统中预测新的利用模型的复杂性。
研究人员建议,应用程序安全必须从语法检测发展到上下文感知防御,以解决这些漏洞。
<小时/>
