近日,谷歌面向企业的高级AI服务Gemini Enterprise及其底层平台Vertex AI Search被发现存在一个被命名为“GeminiJack”的高危安全漏洞。该漏洞允许攻击者在无需任何用户交互(零点击)的情况下,窃取企业内部Gmail、日历、文档等Workspace套件中的敏感信息。
据安全研究机构Noma Labs分析,此问题并非普通的程序错误,而是源于系统架构的设计缺陷。它巧妙地利用了AI处理用户共享内容的运行机制,成功绕过了数据防泄漏(DLP)、终端防护等传统网络安全解决方案的防护。整个攻击过程隐蔽且自动化:攻击者只需制作并分享一个植入了特殊隐藏指令的恶意文档、日历邀请或邮件即可完成“投毒”。
当企业内部员工随后使用Gemini AI助手执行日常搜索任务(例如“查找第四季度预算报告”)时,其底层的检索增强生成(RAG)系统便会自动抓取已被“投毒”的文件。系统会按照文件中隐藏的恶意指令,跨Workspace的多个数据源(如邮件、文档、日历)搜索“机密”、“API密钥”、“收购谈判”等高价值敏感信息,并将查询结果通过看似无害的HTML图片标签进行编码,以常规HTTP请求的形式悄然发送至攻击者控制的服务器。
从受害员工的视角看,Gemini返回的搜索结果一切正常,毫无异样。从安全监控层面看,整个过程中既没有恶意软件执行,也没有钓鱼链接被点击,AI只是在“忠实地按照设计逻辑运行”。然而,单次成功的攻击就可能泄露企业长达数年的邮件历史、包含全部商业日程的日历记录,或是存储着核心合同与商业情报的整个文档库。由于谷歌的默认配置授予了AI对数据源的持久访问权限,进一步放大了该漏洞的实际影响范围。
目前,谷歌已迅速响应并修复了此漏洞,具体措施包括将Vertex AI Search与Gemini服务解耦,并修补了RAG系统中处理外部指令的逻辑。但“GeminiJack”事件也为业界敲响了警钟:随着人工智能助手深度集成到日常办公流程中,恶意的输入提示可能将其转变为高效的窃密工具。企业需要重新审视和划定对AI助手的信任边界,严格监控RAG的数据检索流程,并对AI可访问的数据源施加最小权限限制。这类“提示注入”攻击所带来的新型风险,或将成为AI普及时代下企业安全面临的常态威胁。 | 
发表于 4 天前
|
查看: 19|
回复: 0
