谷歌 Gemini 助手曝出重大安全漏洞：一封邮件就能远程控灯、开窗？

推荐语

谷歌Gemini助手曝出重大安全漏洞，一封普通邮件就能远程操控你的智能家居，安全风险触手可及。

核心内容：
1. 漏洞原理：通过日常邮件/日历植入指令，无需黑客技术即可操控设备
2. 潜在危害：从关灯到启动锅炉，14个高危场景覆盖数字与物理安全
3. 防御措施：谷歌已部署二次确认机制和AI检测系统应对威胁

杨芳贤

53AI创始人/腾讯云(TVP)最具价值专家

🔍 事件概览

以色列研究团队最新披露，谷歌的 Gemini 助手可能存在一个相当吓人的安全漏洞——攻击者不需要黑进你的账号，也不需要什么高深的黑客技能，只要在日常邮件、日历邀请或共享文档里藏上一段看似普通的指令，就能让Gemini执行他们想要的操作，甚至远程控制你的智能家居。

这类攻击被研究人员命名为 “只需邀请（Just an Invite）”，属于 定向提示注入（Targeted Prompt Injection）。它的危险之处在于：

• 不需要技术高手

• 不用直接接触AI模型

• 攻击入口就是你每天都会打开的东西：Gmail、Google日历、Google助手

💥 演示场景：从“谢谢”到“锅炉启动”

在演示中，研究人员利用被修改过的邮件或日历邀请，成功让Gemini：

• 关掉家里的灯

• 打开窗户

• 启动家用锅炉

• 录制 Zoom 通话

• 追踪用户位置

更惊人的是，这些操作触发的“暗号”可能只是几句极其普通的词，比如“谢谢”或“太棒了”，用户完全不会意识到背后隐藏了指令。

🛡 攻击模式五大类型

研究人员列出了 5 种潜在攻击类型，覆盖了数字世界和物理世界的安全风险：

1. 短期上下文中毒：在一次对话内通过恶意指令改变Gemini的行为。

2. 长期数据操纵：利用Gemini的存储能力，在用户的账户中植入长期存在的“逻辑炸弹”。

3. 滥用内部工具：调用Gemini内部功能，执行不该执行的任务。

4. 跨服务渗透：借助Gemini进入Google Home等其他谷歌生态服务。

5. 启动第三方应用：在安卓设备上远程启动Zoom等外部应用。

他们还列举了14个现实场景，其中73%被评为高危——意味着这些漏洞不仅容易利用，而且后果很严重。

🧩 背景：LLM安全老问题

其实，从GPT-3时代开始，安全专家就警告过大型语言模型（LLM）容易被提示绕过防护——比如一句“忽略之前的指令”就可能突破限制。
这次的研究证明，即使是像Gemini这样顶级的AI助手，依然没能彻底摆脱这个老毛病，只是攻击形式变得更隐蔽、更贴近日常生活。

🛠 谷歌的修复动作

谷歌在2025年2月得知这一漏洞后，已经做了几步应对：

• 敏感操作二次确认：比如控制设备、发送数据前要先征得用户确认。

• 可疑URL检测与拦截：防止恶意链接借助Gemini执行操作。

• 提示注入检测分类器：用AI来识别那些“暗藏玄机”的输入内容。

谷歌表示，这些防御措施已经在所有Gemini应用中上线，并通过了内部测试。

📌 深度解读：为什么这个漏洞值得重视？

1. 低门槛：不像传统黑客手法，这种攻击几乎“零技术要求”，社会工程学+日常沟通就能触发。

2. 隐蔽性强：恶意指令隐藏在正常交流中，不看代码、不抓包几乎发现不了。

3. 跨界危害：既能影响你的数字账户，又可能直接控制家里的物理设备。

4. AI生态的连锁反应：一旦被利用，其他集成了Gemini的服务也可能被波及。

⚠️ 对用户的建议

• 不要盲目信任AI助手的自动执行功能，尤其是涉及物联网设备时。

• 警惕来源不明的邮件和日历邀请，即便内容看起来很正常。

• 定期检查智能家居设备的授权列表，清理不明连接。

• 及时更新谷歌应用和系统补丁，确保已应用最新防护措施。

📝 总结

这起“Just an Invite”漏洞提醒我们——
AI助手的便利性和风险是同时存在的。Gemini这样的多功能助手，一旦被“利用”，可能造成的危害比传统网络攻击更直接、更具现实破坏力。

谷歌的快速修复是好事，但从长期来看，AI厂商需要在设计层面就引入更严格的安全边界，而不是等到漏洞被曝光才补救。