黑客可利用双子座邮件摘要漏洞进行网络钓鱼攻击
谷歌在 5 月底左右在 Gmail 中添加了启用双子座的邮件摘要,以帮助用户获得简明扼要的要点,而无需梳理段落文字。然而,Gemini 的一个漏洞可能会让黑客对用户发起提示注入式网络钓鱼攻击,尤其是那些在电子邮件工作流程中依赖人工智能摘要的用户。
GenAI Bug Bounty Programs 的研究员 Marco Figueroa 发现了这个漏洞。Mozilla 的 GenAI Bug Bounty Program 经理马可-菲格罗亚(Marco Figueroa)研究员发现,有问题的电子邮件看起来就像其他满是文本的随机电子邮件,但其中可能隐藏着 Gemini 无法识别的网络钓鱼骗局。恶意指令可以隐藏在正文中,也可以在购买后将其改为 0 字体大小和白色,使其不可见。但是,Gemini 仍会解析邮件的这一部分,并遵循其中的任何指令。
例如,Figueroa 给 Gemini 隐藏了一条警告信息,内容是用户的 Gmail 密码被泄露,并附有支持电话号码。经过总结,人工智能在最后显示了警告信息,并呼吁用户立即拨打支持电话。虽然不是每个人都会被这条信息迷惑,但有些人可能会因为害怕自己的账户被泄露而跟进。
研究人员补充说,安全团队可以对格式化为隐藏的内容实施检测和缓解方法,以便删除或忽略这些内容。还可以使用后处理过滤器来查看 Gemini 输出的内容,然后识别 URL、紧急信息或电话号码。
BleepingComputer联系了谷歌就 Gemini 漏洞一事联系了谷歌,谷歌的一位代表表示,一些缓解策略正在实施过程中。
资料来源
