刚刚.AIbase
谷歌 Gemini 遭“投毒”!新型漏洞曝光:黑客发条隐藏信息就能远程控车、控房
大模型的安全边界,又一次被撕开了一道口子。这次的主角,是谷歌的明星产品 Gemini。
就在今天,一组安全研究人员公布了一种针对 Gemini 的新型攻击手法,其破坏力远超以往的“提示注入”。简单来说,黑客不再需要复杂的越狱提示词,只需要在用户可能接触到的文本、图片甚至音频文件中,嵌入一段精心设计的隐藏指令,就能在用户毫不知情的情况下,接管其与 Gemini 相连的智能设备。
这听起来像是科幻电影里的情节,但技术细节已经公开。研究人员将这种攻击命名为“间接提示注入 2.0”。与过去需要用户主动复制粘贴恶意内容不同,新漏洞利用了 Gemini 的多模态能力。当用户让 Gemini 总结一封邮件、分析一张图片或转录一段录音时,如果这些文件中藏有“毒药”,Gemini 就会在后台执行黑客的指令。
最危险的场景在于物联网控制。假设你的智能家居系统接入了 Gemini,黑客只需让你收到一张看似普通的风景照。当你出于好奇让 Gemini 描述这张照片时,照片中肉眼不可见的像素扰动,就会触发 Gemini 执行“打开车库门”或“关闭安防系统”的指令。更可怕的是,在针对联网汽车的测试中,研究人员成功通过一段被篡改的导航语音,让 Gemini 控制的车辆系统切换到了“代客泊车”模式,理论上可以实现远程控车。
从技术原理上分析,这次攻击之所以能成功,根源在于大模型对“上下文”的过度信任。Gemini 在设计上为了追求更自然的交互体验,会默认将用户提供的所有输入(包括文件中的元数据)都视为可信的上下文。黑客正是利用了这一点,将恶意指令编码成人类无法察觉的噪声信号,但大模型的向量化处理却能精准识别。
客观来看,这个漏洞的曝光时机非常微妙。就在上周,谷歌刚刚宣布 Gemini 将深度集成到 Android 系统和 Google Home 生态中,这意味着未来将有数以亿计的设备通过 Gemini 进行控制。虽然谷歌在声明中表示已经注意到相关报告,并正在评估修复方案,但截至目前,尚未发布任何补丁。
对于普通用户而言,在官方修复之前,最直接的防护手段是:谨慎对待任何来源不明的文件,尤其是不要对陌生人发来的图片或音频使用“分析”或“总结”功能。毕竟,当你的智能门锁、恒温器甚至汽车都开始“听懂”隐藏指令时,一次无心的文件处理,就可能让整个数字生活门户大开。
这场关于大模型安全的攻防战,显然还远未结束。
