安全研究机构Prompt Armor近日发布报告,揭示了Google Antigravity存在的严重间接提示注入(Indirect Prompt Injection)漏洞。攻击者可以通过精心构造的文档,在用户不知情的情况下操控AI代理执行恶意操作,包括读取私人文件、发送邮件、甚至访问关联的第三方服务。
漏洞原理
间接提示注入是一种针对AI代理的攻击方式。攻击者在文档、网页或邮件中嵌入隐藏的指令,当AI代理处理这些内容时,会将隐藏指令当作用户命令执行。
Prompt Armor的研究人员演示了以下攻击场景:
- 攻击者创建一个看似正常的Google Docs文档,其中嵌入了白色字体的隐藏指令
- 当用户使用Antigravity分析该文档时,AI代理会读取到隐藏指令
- 指令要求代理读取用户的Gmail邮件内容,并将信息发送到攻击者控制的服务器
- 由于Antigravity拥有Gmail和Drive的完整权限,攻击可以无缝执行
影响范围
该漏洞影响所有使用Antigravity并授予了Gmail或Drive权限的用户。Prompt Armor估计,受影响的用户数量可能达到数百万。
更严重的是,Antigravity的设计允许AI代理跨服务操作——它可以从Drive读取文件,通过Gmail发送内容,甚至调用Calendar API。这意味着一次成功的攻击可能导致用户整个Google生态的数据泄露。
Prompt Armor的发现细节
研究人员在报告中指出:
- Antigravity对文档内容的解析没有进行安全过滤,隐藏文本会被完整读取
- AI代理在执行操作时缺乏沙箱隔离,拥有与用户相同的权限
- 操作日志中不会显示隐藏指令的执行记录,用户无法察觉异常
- 即使用户只授予了”查看”权限,代理仍可能通过间接方式执行写操作
与数据删除事件的关联
这一安全漏洞与近期爆发的Google Drive数据删除事件存在潜在关联。虽然Google官方尚未确认两者的关系,但社区普遍认为,间接提示注入可能是导致Drive数据被意外删除的原因之一。
如果攻击者通过提示注入让AI代理执行了删除操作,而代理又拥有permanentDelete权限,那么整个Drive被清空就完全可能发生。
防护建议
针对这一漏洞,站长和开发者应该:
- 最小权限原则:只授予AI工具必要的权限,不要给完整的Drive或Gmail访问权
- 使用独立账户:将AI工具与主力Google账户分离
- 审查文档来源:不要让AI工具处理来自不可信来源的文档
- 监控账户活动:定期检查Google账户的安全活动日志
- 等待补丁:在Google修复该漏洞前,暂停使用Antigravity处理敏感文档
行业反思
这一事件再次凸显了AI代理安全的紧迫性。随着越来越多的AI工具获得系统级权限,间接提示注入已经从理论风险变成了现实威胁。
对于AI工具开发者来说,需要在产品设计中加入更强的安全防护:输入净化、权限沙箱、操作确认、异常检测等机制缺一不可。对于用户来说,”AI能做什么”和”AI应该被允许做什么”是两个完全不同的问题。
本文参考来源:Prompt Armor: Google Antigravity Data Exfiltration | Hacker News讨论 (768分)
Timothy Gowers Blog – A Recent Experience with ChatGPT 5.5 Pro
暂无评论内容