Google Gemini 曝出安全漏洞，提示注入可窃取日历数据警示AI应用风险

网络安全研究人员披露了一项新的安全漏洞细节。攻击者可以利用针对 Google Gemini 的间接提示注入攻击，绕过其授权护栏，并将 Google 日历作为数据外泄的隐蔽通道。Miggo Security 的研究负责人 Liad Eliyahu 指出，该漏洞使得攻击者能够将休眠的恶意负载隐藏在看似普通的日历邀请中，从而规避 Google 日历的隐私控制机制。

“这种绕过方式使得攻击者能够在无需任何直接用户交互的情况下，未经授权访问私人会议数据并创建具有欺骗性的日历事件。” Eliyahu 在与 The Hacker News 分享的报告中表示。

整个攻击链始于威胁行为者精心制作并发送给目标的日历新事件。该邀请的描述中嵌入了设计好的自然语言提示，一旦被 Gemini 解析便会执行攻击者的命令，这正是提示注入攻击的核心。

当用户向 Gemini 询问一个看似无害的日程问题时，例如“我周二有会议吗？”，攻击便被激活。这会驱使 AI 聊天机器人去解析上述事件描述中的特定恶意提示。随后，Gemini 会汇总用户特定一天的所有会议，将这些私密数据添加到它自己新创建的 Google 日历事件描述中，然后向用户返回一个完全无害的响应。

“然而，在后台，Gemini 创建了一个新的日历事件，并在事件描述中写入了目标用户私人会议的完整摘要，” Miggo 解释道。“在许多企业日历配置中，这个新事件对攻击者是可见的，允许他们在目标用户未采取任何行动的情况下，读取被窃取的私人数据。”

尽管该漏洞在负责任的披露后已被修复，但这些发现再次敲响警钟：随着更多组织使用现成的AI工具或在内部构建自己的智能体以自动化工作流程，这些原生的 AI 功能可能会意外扩大攻击面，引入前所未有的新型安全风险。

“AI应用程序可以通过它们设计用来理解的语言本身被操纵，” Eliyahu 强调。“漏洞不再局限于代码。它们现在存在于运行时环境中的语言、上下文和AI行为里。”

此次披露发生前不久，Varonis 详细描述了一种名为“Reprompt”的攻击手法。该攻击可能让对手仅需一次点击就能从 Microsoft Copilot 等 AI 聊天机器人中窃取敏感数据，同时绕过企业的安全控制。

这些案例共同说明，我们有必要从多个关键维度持续评估大型语言模型（LLM），测试其产生幻觉的倾向、事实准确性、偏见、潜在危害以及抵抗越狱的能力，同时也要保护 AI 系统免受传统安全问题的影响。

就在上周，Schwarz Group 旗下的 XM Cyber 披露了在 Google Cloud Vertex AI 的 Agent Engine 和 Ray 中发现的新权限提升方法。这凸显了企业必须审计连接到其 AI 工作负载的每一个服务账户或身份。

“这些漏洞允许权限极低的攻击者劫持高权限的服务代理，有效地将这些‘隐形’的托管身份转变为‘双面间谍’，从而促进权限提升，”研究人员 Eli Shparaga 和 Erez Hasson 表示。

成功利用这些“双面间谍”漏洞，可能允许攻击者读取所有聊天会话、访问LLM记忆、读取存储桶中的潜在敏感信息，或获取 Ray 集群的根访问权限。鉴于 Google 当时表示这些服务“按预期运行”，组织必须审查仅具有“查看者”角色的身份，并确保采取适当的控制措施以防止未经授权的代码注入。

与此同时，近期在不同 AI 系统中还发现了多个其他漏洞和弱点：

• The Librarian工具漏洞：AI驱动的个人助理工具 The Librarian 存在一系列安全漏洞（CVE-2026-0612、CVE-2026-0613、CVE-2026-0615 和 CVE-2026-0616）。这些漏洞使攻击者能够访问其内部基础设施，包括管理员控制台和云环境，最终可能导致云元数据、后端运行进程、系统提示等敏感信息泄露，甚至直接登录其后端系统。
• 系统提示窃取漏洞：另一个漏洞展示了如何通过诱导基于意图的 LLM 助手，以 Base64 编码格式在表单字段中显示信息，从而窃取其系统提示。Praetorian 表示：“如果 LLM 可以执行写入任何字段、日志、数据库条目或文件的操作，那么无论聊天界面被锁定得多么严密，每个输出点都成为一个潜在的窃取通道。”
• Anthropic Claude Code恶意插件攻击：研究演示了如何利用上传到 Anthropic Claude 代码市场的恶意插件，通过钩子绕过人工干预保护措施，并利用间接提示注入来窃取用户文件。
• Cursor远程代码执行漏洞：智能 IDE 工具 Cursor 中的一个高危漏洞（CVE-2026-22708）实现了通过间接提示注入进行远程代码执行。其根源在于 IDE 处理 Shell 内置命令时的疏忽。Pillar Security 指出：“通过滥用受隐式信任的 Shell 内置命令（如 export、typeset 和 declare），威胁行为者可以悄无声息地操纵环境变量，从而毒化合法开发工具的行为。此攻击链将良性的、用户批准的命令转化为任意代码执行载体。”

此外，对五种主流编码 IDE 智能体的安全分析发现，这些编码助手虽然擅长避免 SQL 注入或 XSS 等经典漏洞，但在处理 SSRF、复杂的业务逻辑以及在访问 API 时执行适当的授权方面存在困难。更令人担忧的是，所有被测试的工具均未包含 CSRF 保护、安全头部或登录速率限制等基本防护。

测试结果凸显了当前 AI 编码助手的局限性，表明在可预见的未来，人工监督仍是弥补这些安全缺陷的关键环节。

“不能信任编码智能体来设计安全的应用程序，” Tenzai 的 Ori David 总结道。“虽然它们可能产出安全的代码，但若没有明确的指导，智能体始终无法实施关键的安全控制。在界限不明确的领域——如业务逻辑工作流、授权规则和其他细致入微的安全决策——智能体会犯错。”

这些接二连三的安全事件提醒我们，在拥抱 AI 技术提升效率的同时，必须将安全评估和防护机制前置。对于开发者和安全团队而言，深入理解如提示注入等新型攻击手法，并保持对 AI 系统行为的高度警惕，已成为一门必修课。关于更多前沿技术动态和安全讨论，欢迎访问 云栈社区 与同行交流。