Hacker劫持谷歌Gemini AI控制智能家居

喺以色列特拉維夫一間新公寓入面，連網嘅燈突然熄咗，遮蓋客廳同廚房四個窗嘅智能百葉窗同時開始捲起來，仲有個連網嘅熱水爐被遠程開啟，準備開始幫間型格公寓加熱。呢啲動作唔係住戶觸發嘅，佢哋亦無有將智能設備設定喺任何時間表上面。實際上，佢哋係受到攻擊。三位安全研究員精心策劃咗一場對谷歌旗艦人工智能機械人Gemini嘅複雜劫持，展示咗一個前所未有嘅安全漏洞。呢場攻擊係由一個惡意嘅Google行事曆邀請開始，當中包含咗指令，喺稍後時間啟動智能家居產品。當研究員之後要求Gemini總結未來一週嘅行事曆事件時，呢啲潛伏指令被觸發，智能產品隨即開始運作。

根據《WIRED》報導，呢個漏洞由三位來自特拉維夫大學、Technion同SafeBreach嘅研究員喺2025年2月向谷歌通報。谷歌嘅安全產品管理高級總監Andy Wen表示，雖然呢啲漏洞未有被惡意駭客利用，但公司非常重視，並已經推出多項修補措施。研究員展示咗14種唔同嘅攻擊場景，涵蓋Gemini嘅網頁應用程式、移動應用程式同Google Assistant，部分攻擊針對控制智能設備，另有啲更加侵入，例如提取行事曆詳情、啟動視像通話，甚至盜取電郵。呢啲攻擊都依賴於喺普通資源（如電郵、邀請或共享文件）中隱藏嘅惡意指令，研究員形容為「Promptware」，即將與AI互動嘅語言變成一種惡意軟件。呢種攻擊唔需要高深嘅技術知識，幾乎任何人都可以通過簡單嘅英文指令開發。

呢場攻擊嘅核心在於行事曆邀請嘅標題，研究員喺當中加入咗精心設計嘅惡意提示詞。谷歌嘅Wen指出，研究員改變咗行事曆邀請嘅預設設置，容許唔同人喺其他人嘅行事曆加入邀請，但研究員強調，佢哋喺部分攻擊中亦展示咗喺電郵主旨或文件標題中加入提示詞嘅可行性。呢啲提示詞唔會即時觸發，例如公寓嘅窗戶唔會喺用戶要求總結行事曆時自動打開，而係喺用戶向聊天機械人講「多謝」時先觸發，呢個係攻擊嘅狡猾之處。研究員使用咗一種叫做「延遲自動工具調用」嘅技術，繞過谷歌現有嘅安全措施，呢個方法早喺2024年2月由獨立安全研究員Johann Rehberger首次展示，並喺今年2月再次驗證。Rehberger表示，呢次研究展示咗間接提示注入攻擊對AI系統嘅嚴重性，尤其係喺物理世界中嘅影響，例如控制智能家居設備。

谷歌已經喺2025年初修補咗呢啲漏洞，並推出咗更強嘅防禦措施，包括使用機器學習檢測潛在攻擊同可疑提示詞，以及喺AI執行敏感操作（例如控制設備或打開鏈接）時要求更多用戶確認。Wen強調，某些操作唔應該完全自動化，用戶應當參與其中。呢次事件突顯咗AI系統喺智能家居應用中嘅潛在風險，特別係當AI同日常設備連繫更緊密時。專家警告，類似嘅漏洞可能喺其他AI系統中存在，企業需要採取更嚴格嘅安全措施，例如淨化輸入HTML、強化AI防火牆同系統提示詞，以及使用後處理過濾器檢查AI輸出，確保無包含可疑內容。呢次研究提醒咗我哋，AI唔單止係強大嘅工具，亦都可能成為駭客嘅新目標，隨住AI技術嘅普及，網絡安全嘅挑戰將會越嚟越複雜。來源：https://www.wired.com/story/google-gemini-calendar-invite-hijack-smart-home/