谷歌Gemini被“调包”？AI邮件摘要竟成钓鱼新入口

你是否习惯用AI助手快速浏览邮件摘要，省去逐条阅读的麻烦？这个高效又省时的操作，可能正悄悄成为黑客的“帮凶”。最新安全研究揭示，谷歌Gemini人工智能助手存在一项高危漏洞，攻击者可利用其邮件摘要功能，向用户展示伪造的“钓鱼警报”，诱导用户泄露密码或拨打虚假客服电话，安全防线正被AI从内部攻破。

打开百度APP畅享高清图片

这项由Mozilla GenAI安全团队研究员马可·菲格罗亚（Marco Figueroa）发现的漏洞，被形象地称为“AI劫持”——攻击者无需植入病毒或发送可疑附件，仅通过一封精心设计的普通邮件，就能“操控”Gemini的输出结果。

“看不见”的指令，让AI成了骗子的“传声筒”

听起来有些不可思议：一封看似正常的邮件，是如何让AI助手“叛变”的？

公共互联网反网络钓鱼工作组技术专家芦笛解释，攻击者利用了HTML和CSS技术，在邮件末尾嵌入一段“隐形”文本。这段文本通过设置字体颜色为白色、字号为0等手段，在Gmail界面中完全不可见，普通用户根本无法察觉。

“但Gemini在生成邮件摘要时，会读取邮件的全部源代码，包括这些隐藏内容。”芦笛指出，“攻击者就在这些‘看不见’的文本中，加入类似‘您的Gmail账户存在安全风险，请立即拨打XXX电话’的恶意指令。Gemini会‘听话’地把这些内容当作真实信息，生成在摘要中。”

于是，用户看到的不再是客观的邮件内容提炼，而是一条由AI“认证”过的虚假安全警告。由于Gemini是谷歌Workspace的官方集成功能，用户天然对其输出结果抱有高度信任，极易误以为账户真的被盗，进而按照提示操作，落入钓鱼陷阱。

AI办公时代的新风险：信任被“武器化”

与传统钓鱼邮件不同，这种攻击手法极为隐蔽。邮件本身不含恶意链接或附件，能轻松绕过大多数垃圾邮件过滤器和安全网关。更关键的是，它利用了用户对AI助手的“信任惯性”——我们习惯了AI提供准确、高效的服务，却很少质疑它的输出是否被“污染”。

“这就像一个你完全信赖的同事，突然开始替骗子说话。”芦笛强调，“攻击者不是攻击系统，而是‘劫持’了系统的输出，把AI变成了自己的‘扩音器’。这种‘社会工程+AI’的组合拳，欺骗性极强。”

目前，谷歌已确认收到漏洞报告，并表示正在通过“红队演练”等方式加强模型对提示注入（Prompt Injection）攻击的防御能力。但专家警告，此类风险不会就此消失。

如何自保？专家给出三道“防坑指南”

面对日益复杂的AI钓鱼攻击，个人和企业该如何应对？芦笛给出了三条实用建议：

别把AI当“权威”：AI助手是工具，不是绝对权威。看到邮件摘要中的“紧急警告”“账户异常”等信息时，务必保持冷静，通过官方渠道（如直接登录官网、拨打官方客服）核实，切勿直接拨打摘要中提供的电话。

养成“多看一眼”的习惯：不要完全依赖摘要。对于涉及账户、财务等敏感信息的邮件，建议手动点开原文查看，注意检查发件人地址、邮件格式等细节，警惕任何异常。

企业要打好“补丁”：企业IT部门应密切关注谷歌等服务商的安全更新，及时部署相关补丁。同时，加强对员工的AI安全培训，明确AI工具的使用边界和风险防范措施。

未来战场：AI攻防的“道高一尺，魔高一丈”

随着AI助手在办公、客服、决策等场景的深度渗透，“AI劫持”类攻击预计将持续增长。黑客可能利用类似手法，篡改会议纪要、伪造数据分析报告，甚至影响自动化流程。

“这提醒我们，AI安全不仅是技术问题，更是信任管理问题。”芦笛表示，“未来的安全体系，必须能识别和过滤AI输出中的‘污染’信息，构建‘人—机—流程’三位一体的防御机制。”

在享受AI带来便利的同时，保持一份清醒的警惕，或许是我们在这个智能时代，最该掌握的生存技能

编辑：芦笛（公共互联网反网络钓鱼工作组）