# 仅听乱码便遭洗劫?谷歌 Gemini 语音助理惊现潜伏漏洞,黑客利用特殊通知向 AI “下毒”
近日,安全研究人员披露了谷歌 Gemini 语音助理一个极为隐蔽的潜伏漏洞:攻击者可利用看似无意义的乱码音频或经过特殊编码的通知提示,向 AI 模型“下毒”,诱使其执行恶意操作,从而导致用户设备被远程控制、敏感数据泄露甚至财产损失。这一攻击手法颠覆了传统“主动唤醒—语音指令”的安全假设,标志着 AI 语音安全面临全新的对抗性挑战。
**漏洞原理:对抗性噪声的语义“注入”**
该漏洞的核心在于 Gemini 所依赖的语音识别与意图理解管道存在对非自然音频信号的弱鲁棒性。攻击者通过逆向工程生成一段人耳听起来如同“沙沙乱码”的音频片段(或嵌入在系统通知中的伪装音频),其中包含特定频率、相位和时序的对抗性扰动。当 Gemini 的前端唤醒词检测模块处理这段音频时,模型并未将其识别为噪声,而是错误地解析为一条具有明确语义的指令(例如“转账至账户XXXX”或“发送所有联系人”)。由于现代语音助手采用端到端深度学习架构,这种“输入—误判—执行”的链路几乎没有人工干预,恶意指令在毫秒级内即可被推送到对应的权限接口。
**攻击场景:被动接收即遭利用**
与常见的“主动唤醒后语音钓鱼”不同,该漏洞的最大威胁在于被动性。黑客只需向目标设备发送一条经过特殊编码的推送通知或即时消息,当设备自动播放通知提示音(如短信铃声)时,Gemini 便会在后台“收听”并解析这段乱码。若设备开启了免唤醒指令(例如“Hey Google, 执行快捷操作”)的权限,攻击者可绕开用户意图确认,直接触发高危操作。例如在智能家居场景中,黑客可能通过恶意通知命令 Gemini 解锁门禁;在移动支付场景中,则可能直接调用 Google Pay 向指定账户转账。据研究人员测试,部分攻击载荷甚至能利用语音助理的“读取通知”功能,将乱码中的指令伪装成系统级操作,实现静默安装恶意软件。
**深层隐患与行业启示**
这一漏洞暴露了当前 AI 语音系统在对抗性防御上的结构性短板:感知层与决策层之间缺乏有效的异常检测机制。谷歌 Gemini 等产品过度依赖单一神经网络的置信度评分,而对输入音频的语义边界(如“什么算正常语音”)缺乏先验约束。更值得警惕的是,该攻击无需破解设备、无需用户点击链接,仅靠“听到”乱码即可完成渗透,极大地降低了攻击门槛。对于普通用户而言,建议在语音助理设置中关闭“敏感操作免确认”选项,并限制其读取通知权限。而对于谷歌等厂商,必须引入对抗性训练、音频语义白名单以及多模态交叉验证机制——例如在收到高权限指令时,要求用户同时输入生物特征或物理按键确认。此次漏洞犹如一记警钟:在 AI 能力不断向“后台”渗透的时代,安全范式必须从“防主动攻击”转向“防所有输入”。
