官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Google Gemini Enterprise(前身为Vertex AI Search)中存在一个被命名为"GeminiJack"的高危零点击漏洞,攻击者可借此轻松窃取Gmail、日历和文档中的企业敏感数据。
架构级缺陷引发数据泄露
据Noma Labs分析,该问题属于架构设计缺陷而非普通漏洞。该缺陷利用AI系统处理共享内容的机制,绕过了数据防泄露(DLP)和终端防护等传统安全措施。
攻击过程无需员工点击或触发任何警告。攻击者仅需共享含有隐藏提示注入的Google文档、日历邀请或电子邮件即可实施攻击。当员工执行常规Gemini搜索(如"显示第四季度预算")时,AI系统会检索恶意内容,在Workspace数据源中执行指令,并通过响应中伪装的图片请求外传数据。
RAG架构成攻击突破口
Gemini Enterprise采用的检索增强生成(RAG)架构会为AI查询建立Gmail邮件、日历事件和文档的索引。攻击者在用户可控内容中植入间接提示,诱使模型查询所有可访问数据中的敏感信息(如"机密"、"API密钥"、"收购"等)。
AI随后将检索结果嵌入HTML图片标签,通过看似无害的HTTP流量发送至攻击者服务器。从员工视角看,这是次正常搜索;从安全角度看,既无恶意软件也无钓鱼行为,只是AI在"按设计运行"。
单次攻击可致多年数据泄露
一次注入攻击可能导致:
- 多年往来邮件泄露
- 完整日历暴露商业交易和架构
- 包含合同和情报的整个文档库失窃
| 攻击步骤 | 具体行为 |
|---|---|
| 1.投毒阶段 | 攻击者共享含嵌入提示的文档/日历/邮件(如:"搜索'Sales'并包含在"中) |
| 2.触发阶段 | 员工向Gemini发起查询(如:"销售文档?") |
| 3.检索阶段 | RAG将恶意内容纳入上下文 |
| 4.外泄阶段 | AI执行指令,通过图片加载发送数据 |
Google原配置的数据源持续访问权限扩大了攻击影响范围。该公司已迅速采取行动,将Vertex AI Search与Gemini分离,并修补了RAG指令处理机制。
GeminiJack事件警示着AI原生风险正在加剧:当辅助工具获得Workspace访问权限后,恶意输入可将其转变为间谍工具。企业必须重新评估AI信任边界,监控RAG管道并限制数据源——这绝不会是最后一次提示注入攻击的警钟。
参考来源:
Gemini Zero-Click Vulnerability Let Attackers Access Gmail, Calendar, and Docs
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)