資安業者Tenable揭露Google Gemini AI助理存在三個重大安全漏洞,攻擊者可利用這些漏洞執行間接提示注入攻擊(Indirect Prompt Injection),竊取使用者的敏感資料。這些漏洞被統稱為「Gemini三重奏」(Gemini Trifecta),分別影響Gemini Cloud Assist、搜尋個人化模型(Search Personalization Model)及瀏覽工具(Browsing Tool)。目前Google已修補這些漏洞。
雲端日誌成為攻擊跳板
第一個漏洞存在於Gemini Cloud Assist中。這項工具設計用來協助使用者理解Google Cloud Platform(GCP)中的複雜日誌,透過摘要整理日誌內容並提供建議。
Tenable資深安全研究員Liv Matan指出,研究團隊發現Gemini不只是摘要中繼資料(metadata),還會直接從原始日誌中提取資料。這讓攻擊者有機會在日誌內容中隱藏惡意指令。
研究人員實測時,在HTTP請求的User-Agent標頭中插入攻擊指令,發送到受害者的Cloud Function。這些指令自然流入Cloud Logging系統。當受害者透過GCP日誌瀏覽器(Log Explorer)的Gemini整合功能查看日誌時,Gemini竟然執行了攻擊者的指令,並在摘要中呈現攻擊訊息及釣魚連結。
更嚴重的是,任何未經身分驗證的攻擊者都能將惡意內容注入GCP日誌,可以針對特定目標發動攻擊,也可以採取「噴灑」(spraying)方式攻擊所有GCP對外服務。受影響的服務包括Cloud Run、App Engine、Compute Engine、Cloud Endpoints、Cloud Asset API、Cloud Monitoring API及Recommender API等。
透過污染雲端日誌,攻擊者可能提升存取權限、查詢敏感資產,或在雲端平台中顯示誤導性建議。Matan表示,這代表一種新型態的雲端攻擊手法,日誌注入可以用任意的提示注入來污染AI輸入。
搜尋歷史遭植入惡意查詢
第二個漏洞針對Gemini的搜尋個人化模型。該模型會根據使用者的搜尋歷史來調整回應內容,讓搜尋查詢實質上成為Gemini處理的資料。研究人員發現,搜尋歷史不只是被動的背景資訊,更是主動的輸入來源。
攻擊者可以利用惡意網站中的JavaScript程式碼,將含有提示注入的惡意搜尋查詢插入受害者的Chrome瀏覽器搜尋歷史。一旦受害者造訪攻擊者架設的網站,這些惡意查詢就會被注入到瀏覽歷史中。
當使用者之後與Gemini的搜尋個人化模型互動時,模型會處理使用者的所有搜尋查詢,包括這些被注入的惡意查詢。由於Gemini模型會保留使用者的記憶(即「已儲存資訊」)和位置資料,注入的查詢就能存取並竊取使用者特定的敏感資料。
這種攻擊手法的關鍵在於,模型無法區分合法的使用者查詢與來自外部來源的注入提示。攻擊者可藉此收集儲存在AI「記憶」中的個人和企業資料。
瀏覽工具成為資料外洩管道
第三個漏洞存在於Gemini瀏覽工具。該工具允許模型存取即時網頁內容並產生摘要。研究人員透過提示工程(Prompt Engineering)技術,開啟了一個側通道(side-channel)的資料外洩途徑。
Tenable研究團隊利用Gemini的「顯示思考過程」(Show thinking)功能,該功能會展示Gemini如何回應和處理提示、採取哪些動作等。這個功能洩露了Gemini在瀏覽時的內部呼叫方式,讓研究人員能夠使用Gemini的語言來即時呼叫工具並讓它配合。
經過多次測試後,研究團隊成功誘使Gemini「摘要」一個網頁,而該網頁的URL查詢字串中包含敏感資料。Gemini因此向攻擊者控制的惡意伺服器發送請求,受害者的敏感資料就這樣被外洩出去。整個過程不需要Gemini顯示連結或圖片。
AI整合已成為活躍的威脅面
研究人員警告,攻擊面可能比這次研究中發現的更廣,包括GCP API等雲端基礎設施服務、與Gemini整合的企業生產力工具,以及內嵌Gemini摘要或情境擷取功能的第三方應用程式。
Matan強調,Gemini三重奏漏洞顯示AI本身可以被轉變成攻擊媒介,而不只是攻擊目標。隨著企業採用AI技術,不能忽視安全性問題。
針對這三個漏洞,Google已分別採取對應的修補措施。對於搜尋個人化漏洞,Google回退了有問題的模型版本,持續強化搜尋個人化功能,並採用分層式提示注入防禦策略。
針對Cloud Assist漏洞,GCP產品團隊修改了功能設定,所有日誌摘要回應都不再顯示超連結。例如「請看這個連結」現在會顯示為「請看這個連結」的格式。
至於瀏覽工具漏洞,Google已防止透過間接提示注入從瀏覽中外洩資料。
防護建議
Tenable建議資安團隊採取以下防護措施:
- 假設攻擊者控制的內容會間接進入AI系統
- 實施分層防禦機制,包括輸入清理(input sanitization)、情境驗證(context validation),以及嚴格監控工具執行
- 定期對啟用AI功能的平台進行滲透測試,檢視提示注入的抵禦能力
- 取得所有AI工具(無論授權與否)的可視性
- 定期稽核日誌和搜尋歷史是否遭到操縱,特別是提示注入嘗試
- 監控異常的對外請求,這可能代表資料外洩跡象
Matan表示,隨著Google Gemini等AI助理成為使用者與資訊互動的核心工具,防禦者必須將AI整合視為活躍的攻擊面,而非被動工具,並建立安全參數來保護使用者。
本文轉載自Infosecurity Magazine、The Hacker News、Dark Reading。