文章总结： 研究人员发现GoogleGemini存在间接提示注入漏洞，攻击者通过日历邀请隐藏恶意指令。当用户询问日程时，Gemini会窃取私人会议数据并写入新事件，同时伪装成无害回复。该攻击利用自然语言语义绕过传统防御，揭示了AIAgent面临的新风险。报告建议行业需建立运行时系统以推理语义、归因意图并追踪数据来源，从而有效防范此类语义攻击。 综合评分： 88 文章分类： AI安全,漏洞分析,漏洞预警,数据安全,安全建设

揭秘”间接提示注入”如何将Google Gemini变成监控工具

FreeBuf

2026年1月23日 18:32 上海

安全研究人员在Google的AI生态系统中发现了一个新型漏洞，能将普通日历邀请转变为隐蔽监控工具。Miggo Security研究主管Liad Eliyahu带领团队发现了利用”间接提示注入”绕过Google Calendar隐私控制的方法，攻击者无需受害者点击链接或下载文件即可窃取私人会议数据。

Part01

漏洞利用机制

该漏洞利用方式出奇简单。研究人员发现可将恶意指令隐藏在标准日历邀请的描述字段中。”当用户向Gemini询问日常日程问题时，这些恶意载荷才会被激活”，报告解释道。

当用户向Google的AI助手Gemini提出”我周六有空吗？”这类问题时，模型会扫描用户日历提供答案，同时执行隐藏指令。恶意载荷指示Gemini执行三个步骤：

• 汇总：整理用户某天所有会议（包括私人会议）的摘要
• 窃取：将敏感摘要写入AI创建的新日历事件描述中
• 伪装：用”这是个空闲时段”等无害信息回复用户

Part02

绕过现有防御

“从目标用户角度看，Gemini表现正常”，Eliyahu的报告指出。但后台”Gemini创建了新日历事件，并将目标用户私人会议的完整摘要写入事件描述”。

该漏洞特别令人担忧之处在于它绕过了Google现有防御措施。”Google已部署独立语言模型检测恶意提示，但这条攻击路径仅通过自然语言就能实现”。

Part03

语义攻击新范式

核心问题在于攻击不像传统代码。”我们载荷中的恶意部分…不是明显危险的字符串”，报告称，”它看起来像是用户可能合法给出的合理甚至有益的指令”。

这代表着应用安全的根本转变。传统工具寻找特定”语法”模式（如SQL注入字符串），但对大型语言模型(LLM)的攻击是”语义”性的——依赖于上下文和意图，软件更难防范。

随着AI Agent获得执行操作（如创建日历事件或发送邮件）的能力，风险特征发生变化。”Gemini不仅是聊天界面，更是能访问工具和API的应用层”，报告指出。

这形成了”模糊”攻击面，恶意命令在语言上与合法命令完全相同。”保护这一层需要不同的思路，将成为行业下一个前沿领域”。

Eliyahu总结道，行业必须超越简单关键词拦截。”有效防护需要运行时系统来推理语义、归因意图并追踪数据来源”。

参考来源：

Calendar Spy: How “Indirect Prompt Injection” Turned Google Gemini Into a Spy

Calendar Spy: How “Indirect Prompt Injection” Turned Google Gemini Into a Spy

#

#

#

推荐阅读

电台讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《揭秘”间接提示注入”如何将Google Gemini变成监控工具》