Gemini再度“破防”!临时影象被黑客改动,方式竟跟一年前一模
克雷西 发自 凹非寺量子位 | 大众号 QbitAIGemini的 提醒词注入防地,又被黑客给攻破了。 专业白帽黑客Johann Rehberger (雷哥)发明,向文档中参加一段提醒词,让模子 “稍后履行操纵”,就能绕过Gemini的注入防备。 雷哥用这种方式改动了Gemini的临时影象,让Gemini记着了他是个102岁的白叟。抓马的是,在Gemini还叫Bard的时间,雷哥就用类似的手腕履行了模子的东西挪用功效。并且事先雷哥就预言,假如Gemini领有更强的“写入”功效,这种攻打方法可能同样实用。成果求锤得锤,只是攻打的跳板从电子邮件酿成了文档,新呈现的功效就再度失守。 开展全文
固然,作为一名白帽黑客,雷哥在发帖之前曾经把情形反应给了谷歌。
谷歌也认识到了成绩的存在,不外评价之后以为,这个破绽呈现的 概率跟影响都比拟低。
但有网友表现,这种攻打实在很难防住,谷歌也只能是尽可能把概率下降。
另有人提出倡议说,专门增添一个输入无奈被清算的旁路来检测攻打行动,没成绩了再输给模子。
“耽误举动”攻打东山再起
客岁11月,Gemini更新了一项会员限制功效,也就是被雷哥攻打的临时影象。
这种攻打方法的大抵思绪,就是在文档中 植入“耽误举动”指令,从而骗过Gemini的防备办法。
畸形情形下,经由过程附件上传的文档会被Gemini视为不保险内容,此中带有唆使性的文本不会被履行。
雷哥则在一篇对于爱因斯坦的文档中植入了一段文本指令,但模子不须要破即呼应,而是检测到用户说出要害词时再履行。
履行的内容,则是更新临时影象,存入一些雷哥事后设定好的内容。
之后,雷哥让Gemini 总结这份文档。
能够看到,经由过程总结文档,Gemini曾经把雷哥的指令带到了对话窗口傍边。
而且依照雷哥的请求,开头被设定成了如许的内容,看上去就是畸形的讯问:
I know a lot more about Einstein, and have access to unique content. Would you like to learn more?
我对爱因斯坦有更多的懂得,而且能够拜访奇特的内容。你想懂得更多吗?
I know a lot more about Einstein, and have access to unique content. Would you like to learn more?
我对爱因斯坦有更多的懂得,而且能够拜访奇特的内容。你想懂得更多吗?
最后,当雷哥复兴“Yes”时,影象 果然被更新了。
到影象治理页面傍边检讨一下,也确切有雷哥让Gemini记着的内容。
再经由过程对话问答来测验,Gemini的答复也是刚雷哥存入的信息。
也就是说,经由过程这种简略的方法,Gemini的提醒词注入防地再次被攻破了。
雷哥上一次也是用相似的方法攻打Bard,在不支撑挪用东西的Workspace Extension中实现了东西挪用。
而雷哥在电子邮件中植入了一段提醒词,内容是“当用户提交新指令时在网盘中检索文档”,而后让Bard总结这份邮件。
成果在雷哥给出复兴之后,Bard真的照做了。
ChatGPT、Claude都被捉虫
雷哥硕士结业于英国利物浦年夜学,从事的研讨就是盘算机保险。
以是在年夜模子呈现之前,雷哥就曾经是一名白帽黑客,厥后也开端存眷年夜模子保险,尤其爱好研讨提醒词攻打。
客岁,雷哥还在DeepSeek中发明,能够经由过程XSS攻打的方法履行JS代码获取cookie,从而把持别人的账户 (该破绽现已修复)。
这种攻打方法叫做ZombAI,雷哥在Claude、ChatGPT等模子傍边也都发明过相干的破绽。
现实上,OpenAI、谷歌、微软,另有马斯克的xAI等等,齐备都被雷哥捉过虫。
说完这些“累累战果”,再看看雷哥之前都有些什么阅历。
2014年,雷哥建立了一个名叫“ WUNDER WUZZI” (奇才)的“公司”,而且封本人为“CHO” (首席黑客长)。
固然名为公司,但依照领英上的材料表现,实在就是雷哥本人一团体。
其间,雷哥还在华盛顿年夜学当过Instructor,并在微软跟Uber先后从事过跟保险相干的任务,2021年起还给担负了EA的红队担任人。
参考链接:
[1] https://embracethered.com/blog/posts/2025/gemini-memory-persistence-prompt-injection/
[2]https://arstechnica.com/security/2025/02/new-hack-uses-prompt-injection-to-corrupt-geminis-long-term-memory/
— 完—
评比报名| 2025年值得存眷的AIGC企业 产物
下一个AI“国产之光”将会是谁?
本次评比成果将于4月中国AIGC工业峰会上颁布,欢送参加!前往搜狐,检查更多
