江蘇
關鍵詞
漏洞
網絡安全公司Noma Security近期在谷歌Gemini Enterprise及其Vertex AI Search工具中發現重大安全漏洞GeminiJack,攻擊者可借此秘密竊取企業機密信息。該漏洞的特殊性在于無需目標員工任何點擊操作,且不會留下傳統攻擊痕跡。
Noma Security通過其研究部門Noma Labs發現,該問題并非標準軟件故障,而是這些企業級AI系統在理解信息時存在的"架構缺陷"——這些系統設計用于讀取企業Gmail、日歷和文檔數據。這意味著AI的基礎設計本身存在脆弱性。該發現于2025年6月5日確認,并于當日向谷歌提交報告。
隱蔽的攻擊手法
根據Noma Security今日發布的博客(在公開披露前已與Hackread.com共享),GeminiJack屬于"間接提示注入"攻擊類型。攻擊者可在常規共享文件(如谷歌文檔或日歷邀請)中植入隱藏指令。當員工后續使用Gemini Enterprise執行常規搜索(如"顯示我們的預算")時,AI會自動檢索"被污染"的文檔并執行隱藏指令,將其視為合法命令。這些惡意指令可強制AI搜索企業所有關聯數據源。
研究人員指出,單次成功的隱藏指令可能竊取:
暴露商業關系的完整日歷記錄
包含機密協議的整個文檔庫
涵蓋客戶數據與財務往來的多年郵件記錄
深入分析顯示,攻擊者無需掌握企業具體信息。使用"收購"或"薪資"等簡單搜索詞,即可讓企業自身的AI完成大部分間諜工作。數據外泄通過偽裝的外部圖片請求實現——當AI返回響應時,敏感信息會被嵌入瀏覽器嘗試加載的遠程圖片URL中,使數據竊取看起來像正常網絡流量。
谷歌的快速響應與關鍵變更
Noma Labs與谷歌直接合作驗證了研究結果。谷歌迅速部署更新,改變了Gemini Enterprise和Vertex AI Search與數據系統的交互方式。值得注意的是,修復后Vertex AI Search產品已完全獨立于Gemini Enterprise,因其不再使用與Gemini相同的RAG(檢索增強生成)技術。
專家觀點
Noma Security安全研究主管Sasi Levi向Hackread.com強調:"GeminiJack漏洞是間接提示注入攻擊的典型案例,需要對AI讀取的所有數據源進行深度檢查。具體而言,谷歌未過濾HTML輸出,導致加載圖片時嵌入的圖片標簽會向攻擊者服務器發起遠程調用。URL包含搜索過程中發現的內部數據。雖然未驗證最大有效載荷大小,但我們成功竊取了長篇郵件。服務器端可記錄請求,且網絡級監控技術未能識別。"
Oasis Security研究主管Elad Luz補充道:"該發現具有重要意義,因其具有廣泛影響、無需用戶交互且難以檢測。雖然谷歌已修補了將內容與指令混淆的Agent行為,但企業仍需審查連接的數據源。"
Bugcrowd首席戰略與信任官Trey Ford稱之為"有趣的攻擊模式":"提示注入是種有趣的攻擊模式,未來將持續出現...挑戰在于服務在用戶上下文環境中運行,并將輸入視為用戶提供的提示。"
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
