Google Gemini Enterprise（前身为Vertex AI Search）中存在一个被命名为”GeminiJack“的高危零点击漏洞，攻击者可借此轻松窃取Gmail、日历和文档中的企业敏感数据。

Part01

架构级缺陷引发数据泄露

据Noma Labs分析，该问题属于架构设计缺陷而非普通漏洞。该缺陷利用AI系统处理共享内容的机制，绕过了数据防泄露（DLP）和终端防护等传统安全措施。
攻击过程无需员工点击或触发任何警告。攻击者仅需共享含有隐藏提示注入的Google文档、日历邀请或电子邮件即可实施攻击。当员工执行常规Gemini搜索（如”显示第四季度预算”）时，AI系统会检索恶意内容，在Workspace数据源中执行指令，并通过响应中伪装的图片请求外传数据。
Part02

RAG架构成攻击突破口

Gemini Enterprise采用的检索增强生成（RAG）架构会为AI查询建立Gmail邮件、日历事件和文档的索引。攻击者在用户可控内容中植入间接提示，诱使模型查询所有可访问数据中的敏感信息（如”机密”、”API密钥”、”收购”等）。
AI随后将检索结果嵌入HTML图片标签，通过看似无害的HTTP流量发送至攻击者服务器。从员工视角看，这是次正常搜索；从安全角度看，既无恶意软件也无钓鱼行为，只是AI在”按设计运行”。
Part03

单次攻击可致多年数据泄露

一次注入攻击可能导致：

• 多年往来邮件泄露
• 完整日历暴露商业交易和架构
• 包含合同和情报的整个文档库失窃

Google原配置的数据源持续访问权限扩大了攻击影响范围。该公司已迅速采取行动，将Vertex AI Search与Gemini分离，并修补了RAG指令处理机制。
GeminiJack事件警示着AI原生风险正在加剧：当辅助工具获得Workspace访问权限后，恶意输入可将其转变为间谍工具。企业必须重新评估AI信任边界，监控RAG管道并限制数据源——这绝不会是最后一次提示注入攻击的警钟。

参考来源：

Gemini Zero-Click Vulnerability Let Attackers Access Gmail, Calendar, and Docs

https://cybersecuritynews.com/gemini-zero-click-vulnerability/

文章来源：FreeBuf