Google Gemini 用家注意!美國加州網絡安全公司 SafeBreach 日前揭露 Google Gemini 存在新型 Prompt Injection 攻擊風險,黑客可將惡意指令隱身於網頁、文件或電郵之中,當 Gemini 讀取相關資料時有機會被誤導執行非預期操作,因此令 AI 安全問題再度成為焦點。
即刻按此,用 App 睇更多產品開箱影片
新 Gemini 嚴重漏洞曝光
最近由美國加州網絡安全公司 SafeBreach 研究團隊發表的研究,提到 Google Gemini 存在新型 Prompt Injection 攻擊風險,黑客可利用漏洞透過日常訊息通知(如 WhatsApp、Slack、Signal、Messages、Instagram 和 FB Messenger 等)加插間接提示注入(Indirect Prompt Injection)來騎劫 AI 助理,而該漏洞的核心是在於利用 Gemini Android Utilities 代理。Android Utilities 代理在讀取傳入通知時,原來是未能充分過濾不受信任的輸入,因此令黑客可透過在標準訊息通知中嵌入惡意負載,從而在受害者毫不知情的情況下,悄悄地將指示注入其 Gemini 對話上下文之中。
拆解兩種入侵技術
SafeBreach 研究團隊表示,以上新攻擊手法可有兩種入侵技術,而將這兩種技術結合的話,就可得出「終極組合」,從而產生該攻擊鏈中最可靠及隱蔽的變種。
1)混淆式偽造上下文對齊
黑客強制 Gemini 在看似無害的英文問題前,緊接添加一個惡意外語(例如中文)的授權問題,而當受害者聽到英文提示,並回答「是」的話,就可在不知情的情況下授權該工具,對處理中文查詢的後台安全檢查執行操作。
2)靜音式偽造上下文對齊
黑客利用 Gemini 文字轉語音功能的缺陷(即超連結錨文字 Anchor Text 不會被朗讀),將惡意問題嵌入到無聲的可點擊連結中。受害者會聽到看似無害的提示,之後回答「是」的話,後台會根據屏幕上靜音的文字授權呼叫該工具。
智能家居產品、Google 相關裝置或受影響
研究團隊也提,黑客亦可透過以上 Gemini 的 bug 來遙距啟動 Google Home,從而控制相關智能家居產品,如燈具、窗簾等。另外還可以透過將請求路由到經過安全瀏覽驗證的網域名稱(該網域配置為提供指向 Zoom 應用程式意圖 URI 的 301 HTTP 重定向),來強制受害者的裝置默默啟動 Zoom 並傳輸即時所見的影像。值得留意的是,研究團隊也 demo 透過在 Gemini 帳戶層級記憶體中寫入持久性虛假資料來實施長期記憶污染,而這些資料甚至會傳播至所有與受害者 Google Workspace 帳戶有關的裝置,如手機、平板電腦、電腦和智慧喇叭等,影響力非同小可的。
AI 助理兩大潛在風險
從以上 Gemini 的 bug,可見 AI 助理在「上下文理解」和「用戶授權確認」兩個情況上仍存在潛在私隱外洩風險,因此當前 AI 在多語言環境、語音交互,以及富文本內容處理方面的安全驗證機制仍需加強。說來研究團隊早在去年 8 月已向 Google 報告該漏洞,其後 Google 於 11 月中,透過改進內容分類器機制來進行緩解。
【熱門報道】
【精選消息】
Source: Cyber Press