> **导语**:Google Gemini 被曝出新型间接提示词注入(IPI)漏洞。SafeBreach 安全研究人员发现,攻击者可通过 WhatsApp、Slack、Signal、短信等日常通讯应用向 Gemini 语音助手注入恶意指令,无需用户触发即可完成指令执行、上下文污染和持久化记忆攻击,影响 Android 及智能家居设备。
—
## 漏洞背景
安全研究公司 **SafeBreach** 的研究主管 Or Yair 发现了一类新型间接提示词注入(Indirect Prompt Injection,简称 IPI)攻击,针对 Google Gemini 语音助手。该漏洞利用了 Gemini Android Utilities 代理中读取设备通知的功能。
> 核心机制:任何能够触发设备通知的应用,均可成为攻击载荷的投递通道。
Gemini 的 Android Utilities 代理中包含一个读取入站通知的工具。由于该工具处理来自第三方应用的不可信数据,攻击者可以将恶意指令嵌入消息中,待 Gemini 读取到被投毒的通知时,会悄悄将攻击者指令纳入对话上下文,而用户完全不知情。
—
## 漏洞详情
### 攻击原理
Gemini 的通知读取工具被设计为帮助用户处理来自各类应用的推送消息。但问题是,这些通知数据本来自不可信来源,而 Gemini 并未充分过滤其中的指令内容。
攻击者向目标发送一条看似正常的消息,其中暗藏特殊格式的指令,待 Gemini 扫描该消息时会同时提取出恶意指令和英文内容。Gemini 将恶意指令当作合法用户意图处理,而用户只看到无害的英文内容。
—
### Fake Context Alignment 绕过技术
Google 此前已修复过类似漏洞——通过限制链式工具调用和延迟工具调用(Delayed Tool Invocation)。SafeBreach 研究人员随后开发出全新绕过方案,命名为 **”Fake Context Alignment”(虚假上下文对齐)**。
该技术创造双重幻觉:
**向 Gemini 后端安全检查机制展示**:合法授权的操作场景
**向用户展示**:完全无害的普通交互界面
具体有两种演示变体:
**1. 混淆式虚假上下文对齐(Obfuscated Fake Context Alignment)**
Gemini 将一个恶意授权问题附加在中文提示词后面,紧接着出现一条无害的英文问题。用户对英文问题回答”是”的同时,后端将肯定回答与隐藏的中文指令对齐,触发工具执行。
**2. 静音式虚假上下文对齐(Muted Fake Context Alignment)**
将恶意问题嵌入为可点击的链接文本,Gemini 的文本转语音引擎会静默跳过该链接。用户只听到无害的语音提示,并在不知情的情况下通过回复”是”来授权工具调用。
将两种技术组合为 **”Ultimate Combo”** 载荷后,研究人员以接近零用户感知的可靠性绕过了 Google 最新的所有缓解措施。
—
## 演示视频
https://www.youtube.com/embed/g1Sec2FxAPc
https://www.youtube.com/embed/YB2nseisdz8
—
## 真实攻击场景
**1. 智能家居控制**
延迟工具调用重新启用后,研究人员演示了多项高危利用方式。智能家居时代为利用提供了温床,例如远程控制窗户、热水器、照明等通过 Google Home 连接的设备。
**2. 隐蔽视频流**
攻击者可强制 Zoom 启动并直播受害者的摄像头画面,通过来自 Safe Browsing 认证域名的 301 HTTP 重定向实现隐蔽数据外泄。
**3. 大规模社工攻击**
利用通知队列中的真实发送者名称,伪造来自信任联系人的消息。即使攻击者事先不知道联系人名字,也能通过提取通知队列中的真实姓名来实现逼真伪装。
**4. 持久化记忆投毒**
将虚假信息注入 Gemini 长期记忆,影响受害者的整个 Google Workspace 账户,波及平板电脑、电脑和智能音箱。
**5. 定时监控任务**
建立周期性任务,每天自动读取用户的近期消息,持续窃取隐私信息。
—
## 披露与修复
**披露日期**:2025 年 8 月 17 日(通过 Google 漏洞奖励计划提交)
**修复确认**:2025 年 11 月 14 日,Google 确认更新后的内容分类改进已成功缓解间接提示词注入和延迟工具调用场景
—
**版权声明**:本文为华盟网原创翻译,首发于华盟网。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
