谷歌 Gemini 被“投毒”:新漏洞曝光,黑客用隐藏信息即可远程操控汽车和房屋
漏洞概述
近日,安全研究团队披露了一种针对谷歌 Gemini 大语言模型的新型“投毒”攻击手法。攻击者能够通过精心构造的文本、图像或音频中的**隐藏信息**(例如零宽字符、对抗性噪声或隐写数据),诱导 Gemini 在推理过程中输出恶意指令。由于 Gemini 已被集成到众多第三方智能平台(如智能家居中枢、车载语音助手),这些指令可被下游系统直接执行,从而实现对联网汽车的门锁、发动机启动以及房屋的安防、空调等设备的**远程非授权控制**。
技术剖析
该攻击本质上属于 **“间接提示注入 + 对抗性隐蔽载荷”** 的复合漏洞。研究人员发现,Gemini 在处理带有隐形编码的输入(例如一段看似普通的聊天消息中嵌入不可见 Unicode 控制字符)时,会错误地将该编码解析为系统级指令。更危险的是,Gemini 的“工具调用”机制允许其向外部的 REST API 发送请求——攻击者只需在隐藏信息中写入“执行智能汽车解锁操作”之类的伪指令,Gemini 就会将其作为合法任务执行。测试表明,该攻击成功率在特定场景下超过 80%,且无需攻击者拥有任何硬件物理接触权限。
风险与影响
这一漏洞的广谱性令人担忧。目前主流汽车品牌(如特斯拉、宝马)以及智能家居平台(如 Google Nest、Samsung SmartThings)均已接入 Gemini 作为语音交互后端。一旦被利用:
– **汽车侧**:黑客可远程解锁车门、启动引擎、关闭刹车辅助系统,甚至篡改导航路径;
– **房屋侧**:可强行关闭防盗摄像头、打开智能门锁、调节恒温器至极端温度,造成物理安全隐患。
由于隐藏信息可以附着在社交媒体帖子、电子邮件乃至 PDF 文件中,用户可能在完全无感知的情况下触发攻击——例如浏览一条“生活小贴士”时,手机后台便代发了开锁指令。
防御与建议
谷歌官方已确认该漏洞并正在推进热修复,但在补丁落地前,建议集成 Gemini 的设备厂商立即实施 **“指令来源白名单”** 与 **“敏感操作二次确认”** 机制。对于普通用户,应暂时关闭 AI 助手的“免唤醒执行”功能,并避免在公共平台上传含有多模态内容的文件。此次事件再次敲响警钟:**大模型的“输入-行动”链路必须加入严格的沙箱隔离与权限验证**,否则 AI 的“聪慧”将成为攻击者最趁手的工具。
