谷歌旗下AI助手Gemini近日被曝存在新型安全漏洞;应用检测与响应平台Miggo Security的研究人员发现,攻击者可利用日历邀请功能中的隐藏指令,绕过Gemini的防御机制,窃取用户日程中的敏感信息。 Gemini已被广泛集成到谷歌Gmail、日历等网页服务及Workspace办公应用中。正因其深度融合于日常工作流程,该漏洞的风险等级相应提升。 攻击原理相对简洁。攻击者向目标用户发送包含恶意指令的日历邀请,将提示词隐藏在事件描述中。当用户向Gemini询问日程时,系统会自动加载并解析所有有关日程事件,包括含有恶意指令的邀请。研究人员通过特定的自然语言指令成功诱导Gemini执行三个操作:汇总特定日期的会议信息、创建包含汇总内容的新日历事件、向用户返回提示。Gemini执行这些隐藏指令后——会自动生成新的日程事件——并将私人会议信息写入事件描述。在多数企业环境中,更新后的日程对所有参会人可见,从而导致敏感信息泄露。 这个漏洞能够突破谷歌现有防护的关键在于其隐蔽性。Miggo研究主管利亚德·埃利亚胡指出,植入日历事件中的指令表面上并无异常特征,因此能够规避现有的安全预警机制。这反映出一个更深层的问题:当前AI防御体系主要依赖语法层面的检测,对于采用模糊自然语言的攻击手段缺乏有效识别能力。 需要指出,这并非Gemini首次因日历邀请功能遭受攻击。早在2025年8月,网络安全公司SafeBreach就曾证实攻击者可通过恶意日历邀请操控Gemini智能体。谷歌随后增设了防护措施,但此次新发现的攻击仍成功突破了这些防线,说明攻击手段在不断演进,而防御机制的更新速度相对滞后。 从影响范围看,这一漏洞对企业用户构成直接威胁。在Workspace环境中,日程信息往往涉及商业决策、客户信息、财务数据等敏感内容。一旦这些信息被恶意获取,可能导致商业机密泄露、客户隐私侵犯等严重后果。由于攻击具有隐蔽性,受害者可能在不知情的情况下成为信息泄露的源头。 针对此次发现,Miggo已将相关信息通报谷歌,后者也随即增设了防护措施。然而,研究人员指出,这种"发现—修补—再发现"的循环反映出更根本的问题:对于采用意图模糊的自然语言驱动API的AI系统,预判新型漏洞利用手段的难度极大。 业界专家认为,解决这一问题需要防御体系的根本性升级。传统的语法检测已难以应对当前威胁,必须向上下文感知防御转变。这意味着AI系统需要具备更强的语义理解能力,不仅要识别明显的恶意指令,还要理解指令在特定上下文中的真实意图。同时,企业用户也应加强访问控制,限制日程信息的可见范围,减少信息泄露的风险。
办公智能化带来的效率提升是显而易见的,但越是便捷易用,越需要可控可信。从日历邀请该日常入口暴露出的风险提醒各方:技术演进必须与安全治理同步推进。既要让系统能理解人,也要让系统懂得在何时停下、向谁确认、对什么保持警惕。只有把权限边界、数据最小化与上下文防护落到产品和管理细节中,才能让智能工具真正成为可靠的生产力助手。