Mozilla 生成式 AI 漏洞獎金計畫「0din」經理 Marco Figueroa 發現一項針對 Google Gemini 的新型攻擊手法。攻擊者在電子郵件中植入對 Gemini 的隱形指令,利用 HTML 和 CSS 技術將惡意指令隱藏在郵件末尾,設定字體大小為零並使用白色字體,使一般使用者無法察覺。
由於這些惡意指令在 Gmail 介面中不會顯示,且郵件本身不含附件或可疑連結,因此能輕易繞過現有防護機制抵達使用者收件匣。
攻擊流程分析
當收件者開啟郵件並要求 Gemini 生成郵件摘要時,Google 的 AI 工具會解析並執行這些隱藏指令。在 Figueroa 的測試案例中,Gemini 遵循了隱藏指令,生成一則虛假警告,聲稱使用者的 Gmail 密碼已遭洩露,並提供偽造的客服電話號碼。
這類攻擊的危險性在於使用者通常信任 Gemini 作為 Google Workspace 官方功能所生成的內容,容易將惡意警告誤認為合法的系統提醒。
防禦建議
資安專家建議企業和使用者採取多層次防護措施來應對此類威脅。在技術層面,組織應考慮移除或忽略電子郵件中被刻意隱藏的內容,同時建立後處理過濾機制來掃描 Gemini 的輸出內容。這些過濾系統應特別關注緊急訊息、網址或電話號碼等敏感資訊,並自動標記可疑內容以供人工審查。
在使用者教育方面,當遇到任何資安警報時,切勿將 Gemini 生成的摘要視為唯一權威來源,而應透過官方管道驗證任何安全警告的真實性。企業也應建立標準作業程序,教導員工如何識別和回應可疑的 AI 生成內容。
Google 回應
Google 發言人表示,公司正持續透過紅隊演練強化現有防禦機制,並訓練模型對抗此類惡意攻擊。目前部分緩解措施已在實施中或即將部署。
Google 強調,截至目前尚未發現任何實際攻擊事件使用 Figueroa 報告中所示範的方式操縱 Gemini,但此發現凸顯了 AI 系統在企業環境中的潛在風險。
本文轉載自 BleepingComputer。