谷歌Geminni邮件助手曝安全漏洞 黑客利用隐藏指令实施钓鱼诈骗

Meise

谷歌AI助手Gemini最近被揪出个要命漏洞——黑客能利用它生成假邮件摘要骗用户上钩！安全专家点名批评：攻击者通过一种叫"提示注入"的手段，在用户毫无防备时操控Gemini弹出虚假安全警告，诱导人交出账户密码等重要信息。

这事儿得从谷歌把Gemini塞进Workspace办公套件说起。用户用Gmail查邮件时，屏幕右边会冒出个竖条面板，点开就能让Gemini帮忙总结邮件内容、抓关键信息或者加日历行程。本想着是提升办公效率的神器，结果被黑客钻了空子变成诈骗工具。

带头揭露风险的是安全研究员马可·菲格罗亚。他在实验里展示了黑客怎么下套：把给Gemini的指令写成HTML代码塞进邮件里，再把字设成零像素大小、背景刷成纯白色。收件人压根看不见这行隐形字，但Gemini面板读邮件时却会乖乖执行指令！

这么一来，黑客就能远程操控用户屏幕上的Gemini弹假通知。菲格罗亚现场还原骗局：受害者正看邮件呢，Gemini面板突然蹦出红字警告"邮箱疑似被盗"，还贴了个假冒谷歌客服的电话，催人赶紧联系处理。正因为提示从官方Gemini工具弹出来，受害者十有八九会当真，主动把账号送进骗子手里。

堵住漏洞的法子倒是有两招。企业得先给邮件系统加装过滤器，自动揪出正文里用隐藏样式伪装的文字；再加道安全闸，专门扫描Gemini生成的摘要内容，一旦出现"紧急警报""可疑电话"或陌生网址就立刻拦截。

安全专家还特别叮嘱用户：Gemini的邮件总结功能绝对不能当安全通知用！但凡看见AI工具突然弹出"账户异常"的警告，记住先打开官网单独核实，千万别手快点了弹窗里的链接。