Google Workspace驚爆惡意指令漏洞！郵件「總結這封郵件」功能恐變釣魚跳板

記者孫敬／編譯

資安研究人員近日揭露Google Gemini for Workspace存在重大漏洞！駭客可在在電子郵件植入惡意指令，並利用AI助理的「總結這封郵件」（Summarize this email）功能，讓AI顯示出看似來自Google官方，但實則捏造的安全警告，這可能導致用戶的帳號密碼被竊取，或進一步落入社交工程詐騙的陷阱。

這項攻擊原理，是一種名為「間接提示注入（Indirect Prompt Injection, IPI）」技術，駭客透過精心編排的HTML和CSS程式碼，將惡意指令隱藏在電子郵件內容中，藉此操控Gemini的AI處理能力。不同於傳統釣魚郵件需要惡意連結或附件，這類攻擊無需任何連結、附件或外部腳本，只要電子郵件內文有特殊格式的隱藏文字即可。

延伸閱讀：微軟證實Windows防火牆「事件2042」非資安問題 用戶可安心忽略

惡意指令騙過AI：潛藏威脅範圍廣泛，未來恐見「AI蠕蟲」

外媒報導這種攻擊之所以能得逞，是利用了Gemini對隱藏HTML指令的處理方式。攻擊者會將指令嵌入在 <Admin> 標籤中，並透過CSS樣式（例如白底白字或零字體大小）來降低這些內容的辨識度。但當受害者點擊Gemini的「總結這封郵件」功能時，AI助理會將這些隱藏指令視為合法的系統命令，並在摘要輸出中呈現駭客編造的安全警示。

這些警告通常會催促收件人撥打特定電話號碼或造訪可疑網站，目的就是為了竊取用戶的帳號密碼，或是進行語音釣魚詐騙。

資安專家將這種攻擊歸類為0DIN漏洞分類法中的「策略 → 中繼提示 → 欺騙性格式」。他們警告，這個漏洞不僅限於Gmail，更可能影響Google Workspace中的Gemini整合功能，包括Google文件、簡報和雲端硬碟搜尋功能，任何涉及Gemini處理第三方內容的工作流程，都可能成為潛在的指令注入點。

對遭入侵SaaS帳號，可能透過自動化電子報、客戶關係管理（CRM）系統和服務單郵件，轉變成「數千個釣魚信標」，這項技術也引發了對未來「AI蠕蟲（AI worms）」的擔憂，這種新型態惡意軟體可能透過郵件系統自我複製，將單一的釣魚嘗試升級為自動化的傳播攻擊。

企業防禦迫在眉睫：強化訓練與AI供應商責任

面對新形態的AI資安威脅，資安團隊被建議應採取多項防禦措施，包括：

• 「過濾式」HTML碼檢視：徹底掃描並清除任何藏在郵件中的隱藏樣式設定。
• 大型語言模型（LLM）防火牆：建立專屬防禦機制，阻擋惡意指令。
• 後處理過濾器：自動掃描AI助理（如Gemini）的輸出內容，揪出可疑資訊。

此外，企業也應該加強員工的資安意識訓練，特別要提醒大家：AI摘要只是參考資訊，切勿輕信而點擊不明連結或提供個人資料。

而對於Google這類AI服務供應商來說，也有幾項建議的緩解措施，來幫用戶把關：

• 資料擷取時進行HTML清理：確保輸入AI的內容是安全無虞的。
• 提升「上下文檢索」能力：更清楚區分哪些是AI生成的文本，哪些是原始資料。
• 增強解釋性功能：讓用戶能看到AI實際處理了哪些隱藏指令，增加透明度。

資料來源：Cyber Security News

瀏覽 579 次