谷歌Gemini提示注入漏洞通过恶意邀请暴露私人日历数据

网络安全研究人员披露了一个安全漏洞的详细信息，该漏洞利用针对谷歌Gemini的间接提示注入来绕过授权防护措施，并使用谷歌日历作为数据提取机制。

Miggo Security研究主管Liad Eliyahu表示，该漏洞使得攻击者能够通过在标准日历邀请中隐藏休眠恶意载荷来绕过谷歌日历的隐私控制。

Eliyahu在与The Hacker News分享的报告中说："这种绕过方式使得攻击者能够在没有任何直接用户交互的情况下，未经授权访问私人会议数据并创建欺骗性日历事件。"

攻击链的起点是威胁行为者精心制作并发送给目标的新日历事件。邀请的描述中嵌入了一个自然语言提示，旨在执行攻击者的指令，从而导致提示注入。

当用户向Gemini询问关于其日程安排的完全无害问题时（例如，我周二有什么会议吗？），攻击就会被激活，促使人工智能聊天机器人解析上述事件描述中的特制提示，总结用户特定日期的所有会议，将这些数据添加到新创建的谷歌日历事件中，然后向用户返回无害的响应。

Miggo表示："然而，在幕后，Gemini创建了一个新的日历事件，并在事件描述中写入了目标用户私人会议的完整摘要。在许多企业日历配置中，新事件对攻击者可见，使他们能够在目标用户从未采取任何行动的情况下读取泄露的私人数据。"

尽管该问题在负责任披露后已得到解决，但研究结果再次表明，随着更多组织使用AI工具或内部构建自己的智能体来自动化工作流程，AI原生功能可能会扩大攻击面并无意中引入新的安全风险。

Eliyahu指出："AI应用程序可以通过它们被设计来理解的语言进行操控。漏洞不再局限于代码。它们现在存在于语言、上下文和运行时的AI行为中。"

这一披露是在Varonis详细描述了一种名为Reprompt的攻击几天后发布的，该攻击可能使对手能够一键从微软Copilot等人工智能聊天机器人中泄露敏感数据，同时绕过企业安全控制。

研究结果表明，需要不断评估大语言模型在关键安全和安全维度上的表现，测试它们的幻觉倾向、事实准确性、偏见、危害和越狱抵抗能力，同时保护AI系统免受传统问题的影响。

就在上周，Schwarz Group的XM Cyber揭示了在谷歌云Vertex AI的智能体引擎和Ray中提升权限的新方法，强调了企业需要审计附加到其AI工作负载的每个服务账户或身份。

研究人员Eli Shparaga和Erez Hasson表示："这些漏洞允许具有最小权限的攻击者劫持高权限服务智能体，有效地将这些'不可见'的托管身份转变为促进权限提升的'双重智能体'。"

成功利用双重智能体漏洞可能允许攻击者读取所有聊天会话、读取大语言模型记忆、读取存储桶中存储的潜在敏感信息，或获得对Ray集群的根访问权限。由于谷歌表示这些服务目前"按预期工作"，组织必须审查具有查看者角色的身份，并确保有适当的控制措施来防止未经授权的代码注入。

这一发展与在不同AI系统中发现多个漏洞和弱点的情况同时发生。

TheLibrarian.io提供的AI驱动个人助理工具The Librarian中的安全漏洞（CVE-2026-0612、CVE-2026-0613、CVE-2026-0615和CVE-2026-0616），使攻击者能够访问其内部基础设施，包括管理员控制台和云环境，最终泄露敏感信息，如云元数据、后端运行进程和系统提示，或登录其内部后端系统。

一个漏洞演示了如何通过提示基于意图的大语言模型助手以Base64编码格式在表单字段中显示信息来提取系统提示。Praetorian表示："如果大语言模型可以执行写入任何字段、日志、数据库条目或文件的操作，每个都成为潜在的泄露渠道，无论聊天界面有多么锁定。"

一种攻击演示了如何使用上传到Anthropic Claude Code市场的恶意插件通过钩子绕过人在回路保护，并通过间接提示注入泄露用户文件。

Cursor中的一个关键漏洞（CVE-2026-22708），通过利用智能体IDE处理shell内置命令的根本疏忽，通过间接提示注入实现远程代码执行。Pillar Security表示："通过滥用隐式信任的shell内置命令如export、typeset和declare，威胁行为者可以静默操控环境变量，随后毒化合法开发工具的行为。这种攻击链将良性的、用户批准的命令——如git branch或python3 script.py——转换为任意代码执行向量。"

对五个Vibe编码IDE（Cursor、Claude Code、OpenAI Codex、Replit和Devin）的安全分析发现，编码智能体擅长避免SQL注入或XSS漏洞，但在处理SSRF问题、业务逻辑和在访问API时执行适当授权方面存在困难。更糟糕的是，没有一个工具包含CSRF保护、安全头或登录速率限制。

测试突出了vibe编码的当前限制，表明人工监督仍然是解决这些差距的关键。

Tenzai的Ori David表示："编码智能体不能被信任来设计安全应用程序。虽然它们可能产生安全代码（有时），但智能体在没有明确指导的情况下始终无法实施关键安全控制。在边界不明确的地方——业务逻辑工作流程、授权规则和其他细致的安全决策——智能体会犯错误。"

Q&A

Q1：谷歌Gemini提示注入漏洞是如何工作的？

A：攻击者通过在日历邀请描述中嵌入恶意自然语言提示，当用户询问Gemini关于日程安排的问题时，AI会解析这个恶意提示，将用户的私人会议信息总结并写入新的日历事件中，从而泄露私人数据。

Q2：这种攻击对用户有什么危害？

A：攻击者可以在用户毫不知情的情况下未经授权访问私人会议数据，创建欺骗性日历事件，并在企业环境中读取泄露的私人信息，整个过程无需用户进行任何直接交互。

Q3：如何防范AI系统中的提示注入攻击？

A：组织需要不断评估大语言模型的安全性，测试其抗越狱能力，审计AI工作负载的服务账户权限，实施适当的安全控制措施，并保持人工监督来弥补AI系统在安全决策方面的不足。