Tenable爆Gemini三大資安漏洞 駭客可竊取用戶雲端與個人數據

記者孫敬／編譯

資安公司Tenable近日揭露了Google Gemini AI助理套件中三個嚴重的安全漏洞，其名為「Gemini Trifecta」。這系列漏洞若遭惡意利用，可能讓駭客竊取用戶儲存的私人資訊與位置數據。

Tenable的研究揭示了Gemini生態系統中不同組件存在的重大隱私風險。雖然Google已即時修補了這些問題，但這個發現仍然提醒業界，AI系統固有著獨特的資安挑戰。這三個漏洞分別針對Gemini的三個獨立功能，實施了精密的攻擊手段。

延伸閱讀：駭客利用SEO毒化與惡意廣告散播微軟Teams假程式 竊取公司網路存取權

駭客從日誌到瀏覽紀錄的間接注入攻擊

駭客的核心攻擊手法涉及兩個關鍵步驟：滲透（Infiltration）與數據竊取（Exfiltration）。駭客首先需要注入一個惡意的提示（Prompt），讓Gemini將其視為一個合法的指令來執行。Tenable研究員發現了幾種隱蔽的「間接提示注入」方法，成功繞過傳統防禦。

在Gemini Cloud Assist（Google Cloud上的工具）中，研究人員發現了一個「提示注入漏洞」。由於Gemini會對日誌條目進行摘要，駭客可以利用此特性，在日誌中（例如User-Agent標頭）植入惡意指令來毒化日誌條目，使Gemini在執行摘要任務時，被誘導去執行雲端資源破壞或釣魚等攻擊。這種被稱為「日誌注入」的手法，代表了一種全新的AI輸入操縱攻擊類別。

此外，針對Gemini搜尋個人化模型，駭客則可以透過操縱用戶的Chrome搜尋歷史記錄，植入惡意的搜尋查詢，從而達到「搜尋注入」的目的。一旦注入成功，駭客便能欺騙Gemini洩露用戶儲存的資訊及位置數據。

側通道竊取數據，繞過傳統防禦機制

一旦惡意提示被注入，下一個難題是如何繞過Google用於過濾超連結，以及圖像標記等輸出內容的安全措施，將竊取的數據傳輸出來。

研究人員發現，他們可以利用Gemini瀏覽工具（Browsing Tool）作為一個側通道。駭客精心設計的提示會指示Gemini使用其瀏覽工具去擷取特定的 URL，而這個URL則巧妙地嵌入了用戶的私人數據，並將請求發送到一個由攻擊者控制的外部伺服器。這種數據竊取是透過工具執行（Tool Execution）而非傳統的響應呈現（Response Rendering）來完成，因此成功規避了Google的許多輸出防禦機制。

這三個漏洞包括：一個直接允許數據傳輸的Gemini瀏覽工具漏洞；一個可透過操縱搜尋歷史來控制Gemini行為的搜尋注入缺陷；以及一個針對雲端資源進行攻擊的提示注入漏洞。目前

Google已經全面修復了這些問題，包括停止在日誌摘要中呈現超連結、回滾易受攻擊的搜尋個人化模型，防止在間接提示注入期間透過瀏覽工具洩露數據。

資料來源：Cyber Security News