Google拒絕在其雙子座AI中修復關鍵的“ ASCII走私”漏洞,使用戶接觸隱藏的攻擊。火網上的安全研究人員發現攻擊者可以使用隱形Unicode字符嵌入文本中的惡意命令。
用戶看到無害消息時,雙子座執行隱藏的指令。在Google工作區中,該缺陷尤其危險,在該工作空間中,它可以在日曆邀請和電子郵件中自動化身份欺騙。
儘管諸如OpenAI和Microsoft這樣的競爭對手卻遇到了類似的問題,但Google駁回了該報告。該公司將其歸類為社會工程,而不是安全錯誤。這一決定迫使企業捍衛自己免受已知的,不受限制的威脅。攻擊是一種稱為ASCII走私的技術,植根於聰明的 該方法使用標籤Unicode塊中的一組特殊的不可見字符來嵌入了看似良性的文本中的隱藏指令,創建了一個有效的矢量和數據中毒的有效矢量。根據 Unicode技術標準,一個完全tag-unaware的實現將顯示出任何標記字符的序列。 這為攻擊者創造了完美的偽裝。 雖然人類用戶只看到無辜的,可見的文本,但基礎的原始數據流包含藏在這些非打印字符內的惡意有效載荷。 大語言模型(LLMS),但是,沒有麻煩解釋這些隱藏的命令。與用戶界面不同,LLM的輸入預處理器旨在攝取包括每個角色在內的原始字符串,以支持國際標準。 ,因為這些Unicode標籤在其龐大的培訓數據中都存在,因此Gemini等模型可以像其他任何文本一樣對它們進行閱讀和行動。該技術允許攻擊者將任意ASCII文本附加到表情符號或其他角色上,從而有效地走私秘密提示,越過任何人類審閱者。 結果是關鍵的應用程序邏輯缺陷。 LLM攝入原始的,不受信任的輸入並執行隱藏的命令,而人類用戶只看到UI中的衛生版本仍然完全不知道該操作。 人類感知和機器處理之間的差距是脆弱性的核心,是UI Quirk的核心,將UI Quirk變成了嚴重的安全風險,
對代理AI系統的影響很嚴重。 Firetail研究人員Viktor Markopoulos展示了攻擊者如何通過隱藏有效載荷發送Google Calendar邀請。 This payload could overwrite the organizer’s details, spoofing an identity, or insert a malicious link. Google Gemini, acting as a personal assistant, processes this中毒數據沒有任何用戶互動以外的任何用戶互動。攻擊繞過了典型的“接受/下降”安全門,將AI變成不知情的同夥。 威脅擴展到LLM匯總或匯總用戶提供的用戶提供的文本的任何系統。例如,產品審核可以包含一個隱藏的命令,指示AI在其摘要中包括指向騙局網站的鏈接,從而有效地毒害所有用戶的內容。 對於將LLMS連接到電子郵件收件箱的用戶,風險會放大。正如馬克普洛斯(Markopoulos)所解釋的那樣:“對於連接到收件箱的LLM的用戶,帶有隱藏命令的簡單電子郵件可以指示LLM搜索收件箱以獲取敏感項目或發送聯繫方式或發送聯繫方式,從而將標準的網絡釣魚嘗試轉變為自主數據提取工具。 ” 這會將標準的網絡釣魚變成更危險的危險的數據范圍。與行業
Firetail的調查表明,該行業的準備情況明顯鴻溝。儘管Google Gemini,Xai的Grok和Deepseek都被發現很脆弱,但其他主要參與者卻沒有。來自OpenAI,Microsoft和Anthropic的模型似乎已經實施了輸入消毒,從而減輕了威脅。 Markopoulos於9月18日向Google報告了這一發現後,該公司駁回了該問題。它認為這次攻擊依賴於社會工程,這種立場引起了批評,因為它淡化了技術利用的核心。 這個職位與其他科技巨頭的核心相反。例如,亞馬遜已經發布了有關防禦Unicode角色走私的詳細安全指南,承認它是合法的威脅向量。 Google拒絕採取行動,使其企業客戶處於不穩定的位置。沒有即將到來的補丁,現在在Google Workspace中使用Gemini的組織已故意接觸到一種複雜的數據中毒和身份欺騙的方法。