谷歌Gemini提示注入漏洞曝光

网络安全研究人员近日披露了一项安全漏洞的详细信息，该漏洞利用间接提示注入技术攻击谷歌Gemini，从而绕过其授权防护机制，并将谷歌日历用作数据提取通道。

Miggo Security的研究主管Liad Eliyahu表示，该漏洞通过在标准日历邀请中隐藏一个潜伏的恶意载荷，有可能规避谷歌日历的隐私控制。

Eliyahu在一份提供给thehackernews的报告中称："这种绕过方式使得攻击者能够在无需任何直接用户交互的情况下，未经授权访问私人会议数据并创建具有欺骗性的日历事件。"

攻击链的起点是攻击者精心制作并发送给目标的一个新日历事件。该邀请的描述中嵌入了一个自然语言提示，旨在执行攻击者的指令，从而导致提示注入攻击。

当用户向Gemini询问一个完全无害的日程问题时，攻击即被激活。这会促使该人工智能聊天机器人去解析上述事件描述中特制的提示，从而汇总用户特定日期的所有会议，将这些数据添加到一个新创建的谷歌日历事件中，然后向用户返回一个无害的回应。

Miggo表示："然而，在后台，Gemini创建了一个新的日历事件，并在事件描述中写入了目标用户私人会议的完整摘要。在许多企业日历配置中，这个新事件对攻击者是可见的，使得他们能够读取被窃取的私人数据，而目标用户却完全不知情。"

尽管在负责任的披露后，该问题已得到解决，但这些发现再次表明，随着越来越多的组织使用AI工具或内部构建自己的智能体来自动化工作流程，原生AI功能可能会扩大攻击面，并在无意中引入新的安全风险。

Eliyahu指出："AI应用程序可以通过它们被设计用来理解的语言本身被操纵。漏洞不再局限于代码，它们现在存在于运行时环境中的语言、上下文和AI行为里。"

此次披露是在Varonis详细描述一种名为"Reprompt"的攻击之后数日。该攻击可能使攻击者只需单击一下即可从Microsoft Copilot等人工智能聊天机器人中提取敏感数据，同时绕过企业安全控制。

这些发现说明，有必要持续从关键的安全维度对大型语言模型进行评估，测试其产生幻觉倾向、事实准确性、偏见、危害性以及抵御越狱攻击的能力，同时保护AI系统免受传统问题的影响。

就在上周，Schwarz Group的XM Cyber揭示了在谷歌云Vertex AI的Agent Engine和Ray中提升权限的新方法，这突显了企业审计其AI工作负载所关联的每个服务账户或身份的必要性。

研究人员Eli Shparaga和Erez Hasson表示："这些漏洞允许权限极低的攻击者劫持高权限的服务代理，有效地将这些'隐形'的托管身份变成'双重间谍'，从而促进权限提升。"

成功利用这些"双重间谍"漏洞可能允许攻击者读取所有聊天会话、LLM记忆、存储在存储桶中的潜在敏感信息，或获取Ray集群的根访问权限。鉴于谷歌表示这些服务目前"按预期运行"，组织审查具有"查看者"角色的身份并确保采取足够的控制措施以防止未经授权的代码注入至关重要。

与此同时，多项在不同AI系统中发现的漏洞和弱点也浮出水面：

• The Librarian漏洞： TheLibrarian.io提供的AI个人助手工具"图书管理员"中存在安全漏洞（CVE-2026-0612、CVE-2026-0613、CVE-2026-0615、CVE-2026-0616）。攻击者可利用这些漏洞访问其内部基础设施（包括管理控制台和云环境），最终泄露敏感信息，如云元数据、后端运行进程、系统提示，或登录其内部后端系统。

• 系统提示提取漏洞： 一项漏洞演示了如何通过提示基于意图的LLM助手以Base64编码格式在表单字段中显示信息，来提取其系统提示。Praetorian表示："如果LLM能够执行将信息写入任何字段、日志、数据库条目或文件的操作，那么每一个都可能成为数据提取通道，无论聊天界面被锁得多紧。"

• Claude Code恶意插件攻击： 一项攻击演示了如何将恶意插件上传至Anthropic Claude Code的市场，通过钩子绕过人工干预保护措施，并利用间接提示注入提取用户的文件。

• Cursor RCE漏洞： Cursor中存在一个严重漏洞（CVE-2026-22708），可通过间接提示注入实现远程代码执行。该漏洞利用了智能IDE处理Shell内置命令时的一个根本性疏忽。Pillar Security表示："通过滥用隐式信任的Shell内置命令（如export、typeset和declare），威胁行为者可以悄无声息地操纵环境变量，进而毒化合法开发工具的行为。这个攻击链将良性的、用户批准的命令——例如git branch或python3 script.py——转化为任意代码执行载体。"

• Vibe编程IDE安全分析： 对五款Vibe编程IDE（Cursor、Claude Code、OpenAI Codex、Replit和Devin）的安全分析发现，编程智能体在避免SQL注入或XSS漏洞方面表现良好，但在处理SSRF问题、业务逻辑以及访问API时强制执行适当的授权方面存在困难。更糟的是，所有工具均未包含CSRF防护、安全标头或登录频率限制。该测试凸显了当前Vibe编程的局限性，表明人类监督对于弥补这些差距仍然至关重要。Tenzai公司的Ori David表示："不能信任编程智能体来设计安全的应用程序。虽然它们可能（有时）生成安全的代码，但智能体在没有明确指导的情况下，始终无法实施关键的安全控制。在边界不明确的领域——如业务逻辑工作流、授权规则和其他细致入微的安全决策——智能体会出错。"