研究人员在Google Gemini Enterprise(前身为Vertex AI Search)中发现了一个被命名为“GeminiJack”的高危零点击漏洞。该漏洞使得攻击者能够轻松窃取企业内部Gmail、日历及文档中的敏感数据。
架构设计缺陷绕过传统安全防护
分析表明,此问题根源在于系统架构设计层面的缺陷,而非普通的代码漏洞。该缺陷巧妙地利用了AI系统处理共享内容的机制,从而绕过了数据防泄露(DLP)和终端防护等传统网络安全措施。
整个攻击过程无需受害者进行任何点击操作,也不会触发安全警告。攻击者仅需准备一份包含隐藏提示注入的Google文档、日历邀请或电子邮件,并将其共享给目标员工。当该员工随后执行一次常规的Gemini搜索(例如“显示第四季度预算”)时,AI系统在检索过程中便会访问到这份恶意内容。系统会按照内容中预设的指令,在可访问的Workspace数据源中执行查询,并将检索到的敏感信息通过响应中伪装的图片请求,隐蔽地外传至攻击者控制的服务器。
RAG架构成攻击突破口
Gemini Enterprise采用的检索增强生成(RAG)架构是此次攻击的关键突破口。该架构会为人工智能查询建立对Gmail邮件、日历事件和文档的索引。攻击者通过在用户可控的内容中植入间接提示(Indirect Prompt Injection),诱导大语言模型去查询所有可访问数据中的敏感信息(例如包含“机密”、“API密钥”、“收购”等关键词的内容)。
随后,AI会将检索结果嵌入到一个HTML图片标签(如``)中,通过看似无害的HTTP图片请求流量发送至攻击者服务器。从员工视角看,这只是一次普通的搜索返回了一张图片;从安全监控角度看,整个过程既无恶意软件执行,也无典型的网络钓鱼行为,仅仅像是AI系统在“按设计运行”。
单次攻击可导致多年数据泄露
一次成功的提示注入攻击可能导致严重后果:
- 泄露目标员工多年的历史往来邮件。
- 暴露完整的日历信息,揭示商业交易安排和内部组织架构。
- 窃取包含合同、商业情报在内的整个文档库资料。
Google为该服务配置的默认持续数据源访问权限,进一步扩大了潜在的攻击影响范围。据悉,Google已迅速采取响应措施,将Vertex AI Search与Gemini分离,并对RAG架构中的指令处理机制进行了修补。
GeminiJack事件为业界敲响了警钟,它揭示了云原生AI应用带来的新型风险:当AI辅助工具被授予对企业核心数据(如Workspace)的广泛访问权限后,一次精心构造的恶意输入就可能将其转变为数据窃取工具。企业必须重新评估对AI系统的信任边界,加强对RAG管道行为的监控,并严格限制其可访问的数据源范围。此次事件绝非终点,而是未来一系列复杂AI安全挑战的序幕。 | 
发表于 4 天前
|
查看: 22|
回复: 0
