谷歌最近让 Gemini 变得更加实用,新增了对多个日历的支持,而不再仅限于你的主日历。现在,你可以通过自然语言查询事件,或在次级日历中创建新的会议。不过,就在这项更新刚刚上线之际,安全研究人员披露了一项令人担忧的新发现:Gemini 可能被利用来访问他人私密且机密的日历信息。
Miggo Security 的研究人员(消息来源:BleepingComputer)发现了一种滥用 Gemini 与 Google 日历深度集成的方式,仅需一个日历邀请,就可能获取私有日历数据。
这是如何实现的?
这种利用方式并不依赖恶意软件或可疑链接,而是明目张胆地隐藏在一条日历邀请中。攻击者会发送一个日历邀请,在事件描述里写入精心设计的文字。对用户来说,这些内容看起来很正常,但 Gemini 会将其当作自然语言指令来处理。起初不会发生任何异常,这个邀请只是静静地躺在用户的日历中。
问题出现在之后。当用户向 Gemini 提出一些看似简单的问题时,比如“我周六有空吗?”,Gemini 会扫描所有日历事件来给出答案,其中也包括这个带有恶意内容的邀请。此时,隐藏的指令就会被触发。
在 Miggo 的测试中,Gemini 会总结用户某一天的会议安排,创建一个新的日历事件,并在不被察觉的情况下,把这些私密的会议摘要粘贴到新事件的描述中。随后,Gemini 再向用户回复一条看似完全正常的信息,比如“这是一个空闲时间段”。
结果就是,这个包含用户所有私人会议细节的新建日历事件会对攻击者可见,而用户却完全没有意识到自己的数据已经被泄露。
研究人员指出,这种攻击之所以能够奏效,是因为这些指令看起来只是普通的自然语言命令,而不是恶意代码,因此很难被传统的安全系统检测出来。
谷歌现已新增防护措施,以阻止此类攻击。
Miggo 表示,他们已按照负责任披露的原则将这一问题告知谷歌,随后谷歌也新增了防护措施,以阻止此类攻击。不过,这并不是安全研究人员首次通过 Google 日历邀请发起提示注入(prompt injection)攻击。此前,SafeBreach 的研究人员就曾演示过,如何利用被“投毒”的日历邀请劫持 Gemini,甚至协助控制智能家居设备。
Miggo 研究主管 Liad Eliyahu 在接受 BleepingComputer 采访时表示,最新的攻击方式表明,尽管谷歌在 SafeBreach 攻击事件之后进行了安全改进,Gemini 的推理能力仍然可能被操纵,从而绕过现有的安全警告机制。