谷歌Gemini提示注入漏洞通過惡意邀請暴露私人日歷數據

網絡安全研究人員披露了一個安全漏洞的詳細信息，該漏洞利用針對谷歌Gemini的間接提示注入來繞過授權防護措施，并使用谷歌日歷作為數據提取機制。

Miggo Security研究主管Liad Eliyahu表示，該漏洞使得攻擊者能夠通過在標準日歷邀請中隱藏休眠惡意載荷來繞過谷歌日歷的隱私控制。

Eliyahu在與The Hacker News分享的報告中說："這種繞過方式使得攻擊者能夠在沒有任何直接用戶交互的情況下，未經授權訪問私人會議數據并創建欺騙性日歷事件。"

攻擊鏈的起點是威脅行為者精心制作并發送給目標的新日歷事件。邀請的描述中嵌入了一個自然語言提示，旨在執行攻擊者的指令，從而導致提示注入。

當用戶向Gemini詢問關于其日程安排的完全無害問題時（例如，我周二有什么會議嗎？），攻擊就會被激活，促使人工智能聊天機器人解析上述事件描述中的特制提示，總結用戶特定日期的所有會議，將這些數據添加到新創建的谷歌日歷事件中，然后向用戶返回無害的響應。

Miggo表示："然而，在幕后，Gemini創建了一個新的日歷事件，并在事件描述中寫入了目標用戶私人會議的完整摘要。在許多企業日歷配置中，新事件對攻擊者可見，使他們能夠在目標用戶從未采取任何行動的情況下讀取泄露的私人數據。"

盡管該問題在負責任披露后已得到解決，但研究結果再次表明，隨著更多組織使用AI工具或內部構建自己的智能體來自動化工作流程，AI原生功能可能會擴大攻擊面并無意中引入新的安全風險。

Eliyahu指出："AI應用程序可以通過它們被設計來理解的語言進行操控。漏洞不再局限于代碼。它們現在存在于語言、上下文和運行時的AI行為中。"

這一披露是在Varonis詳細描述了一種名為Reprompt的攻擊幾天后發布的，該攻擊可能使對手能夠一鍵從微軟Copilot等人工智能聊天機器人中泄露敏感數據，同時繞過企業安全控制。

研究結果表明，需要不斷評估大語言模型在關鍵安全和安全維度上的表現，測試它們的幻覺傾向、事實準確性、偏見、危害和越獄抵抗能力，同時保護AI系統免受傳統問題的影響。

就在上周，Schwarz Group的XM Cyber揭示了在谷歌云Vertex AI的智能體引擎和Ray中提升權限的新方法，強調了企業需要審計附加到其AI工作負載的每個服務賬戶或身份。

研究人員Eli Shparaga和Erez Hasson表示："這些漏洞允許具有最小權限的攻擊者劫持高權限服務智能體，有效地將這些'不可見'的托管身份轉變為促進權限提升的'雙重智能體'。"

成功利用雙重智能體漏洞可能允許攻擊者讀取所有聊天會話、讀取大語言模型記憶、讀取存儲桶中存儲的潛在敏感信息，或獲得對Ray集群的根訪問權限。由于谷歌表示這些服務目前"按預期工作"，組織必須審查具有查看者角色的身份，并確保有適當的控制措施來防止未經授權的代碼注入。

這一發展與在不同AI系統中發現多個漏洞和弱點的情況同時發生。

TheLibrarian.io提供的AI驅動個人助理工具The Librarian中的安全漏洞（CVE-2026-0612、CVE-2026-0613、CVE-2026-0615和CVE-2026-0616），使攻擊者能夠訪問其內部基礎設施，包括管理員控制臺和云環境，最終泄露敏感信息，如云元數據、后端運行進程和系統提示，或登錄其內部后端系統。

一個漏洞演示了如何通過提示基于意圖的大語言模型助手以Base64編碼格式在表單字段中顯示信息來提取系統提示。Praetorian表示："如果大語言模型可以執行寫入任何字段、日志、數據庫條目或文件的操作，每個都成為潛在的泄露渠道，無論聊天界面有多么鎖定。"

一種攻擊演示了如何使用上傳到Anthropic Claude Code市場的惡意插件通過鉤子繞過人在回路保護，并通過間接提示注入泄露用戶文件。

Cursor中的一個關鍵漏洞（CVE-2026-22708），通過利用智能體IDE處理shell內置命令的根本疏忽，通過間接提示注入實現遠程代碼執行。Pillar Security表示："通過濫用隱式信任的shell內置命令如export、typeset和declare，威脅行為者可以靜默操控環境變量，隨后毒化合法開發工具的行為。這種攻擊鏈將良性的、用戶批準的命令——如git branch或python3 script.py——轉換為任意代碼執行向量。"

對五個Vibe編碼IDE（Cursor、Claude Code、OpenAI Codex、Replit和Devin）的安全分析發現，編碼智能體擅長避免SQL注入或XSS漏洞，但在處理SSRF問題、業務邏輯和在訪問API時執行適當授權方面存在困難。更糟糕的是，沒有一個工具包含CSRF保護、安全頭或登錄速率限制。

測試突出了vibe編碼的當前限制，表明人工監督仍然是解決這些差距的關鍵。

Tenzai的Ori David表示："編碼智能體不能被信任來設計安全應用程序。雖然它們可能產生安全代碼（有時），但智能體在沒有明確指導的情況下始終無法實施關鍵安全控制。在邊界不明確的地方——業務邏輯工作流程、授權規則和其他細致的安全決策——智能體會犯錯誤。"

Q&A

Q1：谷歌Gemini提示注入漏洞是如何工作的？

A：攻擊者通過在日歷邀請描述中嵌入惡意自然語言提示，當用戶詢問Gemini關于日程安排的問題時，AI會解析這個惡意提示，將用戶的私人會議信息總結并寫入新的日歷事件中，從而泄露私人數據。

Q2：這種攻擊對用戶有什么危害？

A：攻擊者可以在用戶毫不知情的情況下未經授權訪問私人會議數據，創建欺騙性日歷事件，并在企業環境中讀取泄露的私人信息，整個過程無需用戶進行任何直接交互。

Q3：如何防范AI系統中的提示注入攻擊？

A：組織需要不斷評估大語言模型的安全性，測試其抗越獄能力，審計AI工作負載的服務賬戶權限，實施適當的安全控制措施，并保持人工監督來彌補AI系統在安全決策方面的不足。