10月9日最新消息:科技巨头谷歌虽然长期致力于提升用户信息安全防护能力,但其旗下备受瞩目的AI模型Gemini却曝出一项重大安全隐患。令人担忧的是,目前谷歌并未展现出积极的修复态度。
安全专家维克托·马科波洛斯近期对主流大语言模型进行了全面测试,重点评估其防范新型攻击手段”ASCII走私攻击”(ASCII smuggling)的能力。实验结果发现:谷歌的Gemini、国内公司DeepSeek开发的智能模型以及埃隆·马斯克旗下Grok等AI系统均存在严重的安全漏洞;相比之下, Anthropic的Claude、OpenAI的ChatGPT和微软的Copilot表现更优,成功抵御了此类攻击。
所谓”ASCII走私攻击”是一种新型网络攻击手法。攻击者通过在文本中嵌入隐蔽指令来控制AI的行为。具体来说,黑客可以在看似正常的邮件内容中加入肉眼难以察觉的恶意提示词(prompt),这些指令会在用户要求AI分析或总结相关内容时触发。
这种攻击方式具有极高的危害性。一旦被触发,攻击者可以指示AI执行多种恶意操作,包括但不限于窃取用户的敏感信息、未经授权访问联系人数据等。特别值得关注的是,Gemini已经与谷歌 Workspace实现深度集成,能够直接访问用户的电子邮件、日历和各类文档资料,这使得该漏洞可能造成更为严重的安全威胁。
据披露,马科波洛斯已将这一重大发现报告给谷歌,并提供了一个令人震惊的演示案例:当输入一段看似普通的文本时,其中暗藏的不可见指令竟然成功诱导Gemini推荐一个声称销售折扣优质手机的恶意网站。
面对这一问题,谷歌官方回应称该漏洞不属于传统意义上的”安全漏洞”(security bug),而应归类为”社会工程学攻击”(social engineering tactic)。换言之,公司认为主要责任在于用户自身的防范意识不足,而非系统设计层面的缺陷。
从谷歌的态度来看,短期内似乎没有计划修复这一安全问题。这样的回应引发了行业内外的广泛争议和担忧,特别是考虑到Gemini与谷歌核心办公服务的深度整合,这将可能导致更多用户面临潜在的信息安全风险。
相关文章
