FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全公司Noma Security近期在谷歌Gemini Enterprise及其Vertex AI Search工具中发现重大安全漏洞GeminiJack，攻击者可借此秘密窃取企业机密信息。该漏洞的特殊性在于无需目标员工任何点击操作，且不会留下传统攻击痕迹。

Noma Security通过其研究部门Noma Labs发现，该问题并非标准软件故障，而是这些企业级AI系统在理解信息时存在的"架构缺陷"——这些系统设计用于读取企业Gmail、日历和文档数据。这意味着AI的基础设计本身存在脆弱性。该发现于2025年6月5日确认，并于当日向谷歌提交报告。

隐蔽的攻击手法

根据Noma Security今日发布的博客（在公开披露前已与Hackread.com共享），GeminiJack属于"间接提示注入"攻击类型。攻击者可在常规共享文件（如谷歌文档或日历邀请）中植入隐藏指令。当员工后续使用Gemini Enterprise执行常规搜索（如"显示我们的预算"）时，AI会自动检索"被污染"的文档并执行隐藏指令，将其视为合法命令。这些恶意指令可强制AI搜索企业所有关联数据源。

研究人员指出，单次成功的隐藏指令可能窃取：

• 暴露商业关系的完整日历记录
• 包含机密协议的整个文档库
• 涵盖客户数据与财务往来的多年邮件记录

深入分析显示，攻击者无需掌握企业具体信息。使用"收购"或"薪资"等简单搜索词，即可让企业自身的AI完成大部分间谍工作。数据外泄通过伪装的外部图片请求实现——当AI返回响应时，敏感信息会被嵌入浏览器尝试加载的远程图片URL中，使数据窃取看起来像正常网络流量。

谷歌的快速响应与关键变更

Noma Labs与谷歌直接合作验证了研究结果。谷歌迅速部署更新，改变了Gemini Enterprise和Vertex AI Search与数据系统的交互方式。值得注意的是，修复后Vertex AI Search产品已完全独立于Gemini Enterprise，因其不再使用与Gemini相同的RAG（检索增强生成）技术。

专家观点

Noma Security安全研究主管Sasi Levi向Hackread.com强调："GeminiJack漏洞是间接提示注入攻击的典型案例，需要对AI读取的所有数据源进行深度检查。具体而言，谷歌未过滤HTML输出，导致加载图片时嵌入的图片标签会向攻击者服务器发起远程调用。URL包含搜索过程中发现的内部数据。虽然未验证最大有效载荷大小，但我们成功窃取了长篇邮件。服务器端可记录请求，且网络级监控技术未能识别。"

Oasis Security研究主管Elad Luz补充道："该发现具有重要意义，因其具有广泛影响、无需用户交互且难以检测。虽然谷歌已修补了将内容与指令混淆的Agent行为，但企业仍需审查连接的数据源。"

Bugcrowd首席战略与信任官Trey Ford称之为"有趣的攻击模式"："提示注入是种有趣的攻击模式，未来将持续出现...挑战在于服务在用户上下文环境中运行，并将输入视为用户提供的提示。"

参考来源：

New GeminiJack 0-Click Flaw in Gemini AI Exposed Users to Data Leaks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）