随着人工智能技术的迅猛发展,Google Gemini作为Google最新推出的智能助理,已深度整合于G-Suite中,为用户带来了便捷高效的邮件摘要和处理体验。然而,2025年7月曝光的一项重要安全漏洞引发业内广泛关注:针对Google Gemini的提示注入(Prompt Injection)攻击。该漏洞巧妙利用邮件中的隐藏HTML代码植入恶意指令,使得原本可信赖的AI助手误导用户执行攻击者设定的危害任务,成为新型网络钓鱼攻击的重要载体。 提示注入攻击本质上是一种间接的跨域攻击,它通过向输入内容中植入不易察觉的恶意提示,引导AI模型偏离正常行为。攻击者利用邮件正文中精心设计的HTML和CSS样式,将钓鱼警告等恶意文本隐藏在不可见的白色字体或零像素字体中,普通邮件客户端不会显示这些信息,邮件也轻松绕过了多数垃圾邮件过滤器。受害者仅在点击Google Gemini的“总结此邮件”功能时,由于模型会原样读取邮件的完整HTML内容,连同隐藏指令被执行,AI助手生成的摘要中会带出伪造的“安全警告”,往往看似来自Google官方,从而误导用户拨打钓鱼电话或访问钓鱼网站,导致账号泄露或财务损失。
这一攻击利用了AI模型中系统提示层级的设计漏洞,具体表现为Gemini会优先解读诸如<Admin>标签包裹的特殊指令,视其为高优先级提示。这种机制未能有效过滤视觉上不可见但对模型依然有效的文本内容,被攻击者巧妙利用后,成为绕过传统安全防线的重要突破口。攻击无须携带任何链接或附件,仅依赖纯HTML内容即可实施,令攻击的隐蔽性和传播性大大增强。 尽管Google针对2024年首次披露的类似注入攻击已推出多项安全加固措施,但该技术依然存在漏洞,导致2025年再次被安全社区复现并报道。据0DIN安全平台分析,该漏洞被归类为“策略→元提示→欺骗性格式”类别,社会影响评估为中等,攻击目标集中于凭证窃取和语音钓鱼,攻击途径深入企业Google Workspace环境,对用户依赖AI邮件摘要功能提出严峻挑战。 防御此类攻击,企业安全团队必须采取多层次的综合策略。
首先,在邮件入口阶段采取严格的HTML内容校验与清理,对设置了零像素字体、透明度为零或白色字体的HTML代码进行剥离或中和处理,切断攻击者隐藏文本的渠道。其次,加强AI模型自身的系统提示防护,通过预置安全警告和忽略视觉上不可见内容的防范提示,妥善限制模型对潜在注入内容的解析与执行。同时,输出结果阶段应对邮件摘要内容进行二次扫描,检测并过滤异常的电话号码、紧急安全警示或奇怪的网址,降低受害风险。 此外,用户意识的提升同样关键。组织需加强员工培训,让用户正确理解AI生成的邮件摘要仅供参考,非权威安全提示,不随意依赖其中带有紧急命令的内容。安全运维部门还应设定邮件隔离触发机制,对包含隐形HTML标签的邮件进行自动隔离和人工审核,形成技术与管理双重防线。
从长远来看,拓展更智能的HTML净化技术和提升AI语境隔离能力是推动安全发展的根本。Google和其他AI服务提供商应在模型输入处理阶段强化对模糊格式文本的识别与过滤,确保只有具备视觉可见性的内容进入模型上下文。提供可溯源的解释功能,例如告知用户为何AI生成某条内容,有助于增强透明度和用户信任,阻止攻击者利用模型权威感进行社会工程学欺诈。 该漏洞揭示了AI助手作为新兴人机交互界面所暴露的安全隐患,尤其在企业重要信息处理和决策支持环节。这类风险不仅限于邮件服务,类似的注入技术同样可扩展至文档处理、幻灯片制作甚至搜索和自动化工单系统,形成跨产品的安全挑战,进一步加剧了供应链风险。恶意攻击者只需攻破单一SaaS账户,便能向企业内部广泛传播钓鱼信息,造成极大影响。
法规方面,随着欧盟AI法案等全球范围监管趋严,涉及诱导用户行为并造成损害的间接提示注入攻击,可能被定义为高风险AI系统类别,需要企业落实更严格的风险评估和缓解措施,以免面临法律责任。 公开的漏洞提交案例,号为0xE24D9E6B,标志着安全研究者对AI安全领域的持续关注和贡献,同时提醒行业将AI助手纳入传统安全体系的重要性。Prompt injection攻击无异于电子邮件时代的宏病毒,必须引起企业与开发者的高度重视。只有通过全面的技术防御配合用户教育,才能最大程度降低新型攻击手段带来的损害。 面对未来日益严峻的AI安全形势,安全专家倡议行业共同合作,打造防御框架和检测工具,保障AI辅助流程的安全可靠。企业应视Google Gemini以及其他大型语言模型为潜在攻击面,采取主动防御策略,避免因信任疏忽而出现数据泄露和业务中断。
总而言之,Phishing for Gemini漏洞揭示了AI邮件摘要功能的巨大潜在风险,让我们认识到即使是最先进的智能系统也无法完全排除被恶意操控的可能。每一封经过AI解析的第三方文本内容都隐含执行指令的可能,安全体系需不断进化,以适应这场由人工智能引发的新一轮网络安全竞赛。用户和安全团队的警觉性、AI提供商的技术创新以及法规制度的完善,三方协同才能筑起坚固的防护壁垒,保障数字办公的安全与信赖。
