黑客找到新方法通过Google双子座捕食用户

雅加达 - 黑客发现了一种利用Google Gemini进行网络钓鱼目的的新方法。一位研究人员设法找到了这个漏洞,并展示了如何使用该漏洞。

谷歌做出了回应,试图说服用户,同时承认他们没有发现双子座以研究人员所表明的方式操纵的证据。

疲劳已经在Google Gemini上被检测到,特别是在Google Gemini for Workspace上,允许攻击者窃取电子邮件摘要以进行网络钓鱼目的。

那么,这里到底发生了什么呢?双子座的 Google 可能会被利用来生成看起来有效的电子邮件摘要,但实际上不是。此摘要可能包含恶意指示或警告,将用户引导到网络钓鱼 网站。

您的一些人可能还记得,去年报告了类似的攻击事件。谷歌已经实施了安全措施,但似乎同一技术仍在运行。

这种脆弱性是通过Odin透露的,Odin是Mozilla的生成AI工具的益益错误计划。揭示它的研究者是Mozilla的Bounty Bug GenAI项目经理Marco Figueroa。

它是如何工作的?攻击者为双子座创建了一个带有隐藏方向的电子邮件。攻击者可以使用HTML和CSS将字体尺寸设置为零,颜色为白色,在消息文本机构的后部隐藏恶意指示。

由于这些设置,Gmail 不会显示指示。鉴于没有附件或链接包含,消息很可能会到达潜在的目标登录箱,并且不会在垃圾邮件文件夹中结束或立即被阻止。如果收到电子邮件的人要求双子座创建电子邮件摘要,Google AI工具将解开隐藏的方向并遵守。

BleepingComputer已联系谷歌征求意见,一位发言人在谷歌博客文章中指出了针对命令注入攻击的安全措施。他还说:“我们通过红色投球演习,继续加强我们已经强大的防御,这些演习教练我们的模型在这种类型的反击中幸存下来。

他还表示,谷歌尚未看到任何事件的证据,这些事件以Figueroa的示威方式操纵双子座。