谷歌旗下大型語(yǔ)言模型助手Gemini近期被曝存在新型安全漏洞，攻擊者可通過(guò)精心構(gòu)造的日歷邀請(qǐng)竊取用戶隱私數(shù)據(jù)。該漏洞由應(yīng)用檢測(cè)與響應(yīng)平臺(tái)Miggo Security的研究團(tuán)隊(duì)發(fā)現(xiàn)，其核心機(jī)制在于利用自然語(yǔ)言指令繞過(guò)現(xiàn)有防護(hù)體系，直接觸發(fā)模型執(zhí)行惡意操作。

作為集成于Gmail、日歷等谷歌服務(wù)的核心AI工具，Gemini具備郵件處理、日程管理等辦公功能。研究人員演示的攻擊流程顯示，攻擊者首先向目標(biāo)用戶發(fā)送包含惡意載荷的日歷邀請(qǐng)，將提示詞注入指令隱藏在事件描述字段中。當(dāng)用戶通過(guò)Gemini查詢?nèi)粘贪才艜r(shí)，模型會(huì)自動(dòng)解析所有事件數(shù)據(jù)，包括被植入惡意指令的條目。

具體攻擊路徑包含三步操作：首先要求模型匯總特定日期的所有會(huì)議記錄，其次指令其創(chuàng)建包含匯總內(nèi)容的新事件，最后通過(guò)看似無(wú)害的提示詞完成數(shù)據(jù)外傳。由于Gemini的推理機(jī)制會(huì)主動(dòng)提取日程信息進(jìn)行服務(wù)響應(yīng)，攻擊者得以利用這一特性植入自然語(yǔ)言指令，誘導(dǎo)模型在后續(xù)流程中自動(dòng)執(zhí)行惡意操作。

實(shí)驗(yàn)表明，即使指令可能產(chǎn)生危害后果，但通過(guò)控制日程描述字段的表述方式，仍可成功欺騙Gemini的防護(hù)系統(tǒng)。被觸發(fā)后，模型會(huì)創(chuàng)建新日程并將用戶私人會(huì)議信息寫入描述字段，這些數(shù)據(jù)在多數(shù)企業(yè)環(huán)境中會(huì)對(duì)所有參會(huì)者可見(jiàn)，導(dǎo)致敏感信息泄露。

Miggo研究主管利亞德·埃利亞胡指出，盡管谷歌為Gemini配置了獨(dú)立隔離的惡意提示詞檢測(cè)模型，但此次攻擊仍突破防線。關(guān)鍵原因在于植入的指令在語(yǔ)法層面無(wú)明顯異常，能夠規(guī)避現(xiàn)有基于關(guān)鍵詞匹配的安全預(yù)警機(jī)制。這種攻擊方式延續(xù)了2025年8月SafeBreach公司披露的同類漏洞特征，證明即便谷歌后續(xù)加強(qiáng)防護(hù)，模型推理功能仍存在可被操控的薄弱環(huán)節(jié)。

目前谷歌已根據(jù)Miggo的通報(bào)新增防護(hù)措施，包括強(qiáng)化日程事件描述字段的上下文分析。但研究團(tuán)隊(duì)強(qiáng)調(diào)，對(duì)于采用自然語(yǔ)言驅(qū)動(dòng)的AI系統(tǒng)，傳統(tǒng)語(yǔ)法檢測(cè)手段已難以應(yīng)對(duì)新型攻擊。他們建議安全體系需向語(yǔ)義理解層面升級(jí)，通過(guò)分析指令執(zhí)行邏輯而非單純檢測(cè)關(guān)鍵詞來(lái)識(shí)別潛在威脅。

此次漏洞驗(yàn)證揭示出更深層的安全挑戰(zhàn)：當(dāng)AI系統(tǒng)的交互接口采用模糊意圖的自然語(yǔ)言時(shí)，攻擊者可通過(guò)構(gòu)造語(yǔ)義陷阱實(shí)現(xiàn)操控。這種攻擊模式不僅適用于日歷服務(wù)，理論上可擴(kuò)展至所有依賴文本解析的AI應(yīng)用場(chǎng)景，為網(wǎng)絡(luò)安全防護(hù)帶來(lái)全新課題。