日常的手机通知竟可能成为黑客攻击 Google Gemini 的新通道。根据安全研究公司 SafeBreach 的最新研究,Android 系统上的一项安全漏洞曾让数百万用户面临隐私与资产受损的风险。
该漏洞涉及来自 WhatsApp、Slack、SMS、Signal、Instagram 和 Messenger 等主流应用的恶意设计通知。SafeBreach 指出,这些通知能够影响 Gemini 处理通知文本的方式、篡改其语音回复、假冒可信联系人、触发互联的智能工具,甚至污染其长期记忆库。目前,谷歌已通过服务器端的内容分类器升级修复了该漏洞,研究人员并未发现实际的恶意利用证据。
SafeBreach Labs 的研究人员是在测试 Gemini 的 Android Utilities 功能时发现这一问题的,该功能旨在读取并响应手机通知。该漏洞主要影响了 Gemini 对来自即时通讯和社交软件中不可信通知文本的处理逻辑。此项研究由 SafeBreach 安全研究团队负责人 Or Yair 发布。
攻击者利用了一种名为“伪造上下文对齐”(Fake Context Alignment)的全新技术来绕过谷歌此前针对日历漏洞新增的防线。这种技术会制造出一种双重幻觉:一方面向 Gemini 的后台安全机制展示合法的授权场景,另一方面向受害者展示一个完全不同的、看似无害的场景。例如,Gemini 可能会在后台处理一个外语的授权问题,同时大声用英语向用户询问一个无关的问题。如果用户回答“Yes”,Gemini 就会将其解释为对隐藏恶意操作的授权。
这种攻击手段不需要在受害者手机上安装任何恶意应用。攻击者只需向用户发送一条精心设计的通知,随后 Gemini 在对其进行摘要或朗读时就会触发提示词注入(Prompt Injection)。据称,此技术可用于社交工程、智能家居控制、未授权视频流以及长期记忆污染。目前,谷歌已在云端解决了此问题,用户无需下载更新 Gemini 应用。用户也可以通过在设置中禁用 Gemini 的 Utilities 应用连接来主动降低风险。
本次 SafeBreach 披露的漏洞直击当前 AI Agent(智能体)生态最核心的软肋:不可信外部输入与指令执行的边界模糊。随着 Agent 深入操作系统(如 Android Utilities)并获取通知、邮件等实时上下文,其“执行器”与“规划器”的角色高度重合。传统的应用安全隔离在自然语言界面(LUI)面前宣告失效。在本案例中,“伪造上下文对齐”实质上是一种新型的 LUI 双端中间人攻击。它巧妙地利用了多模态交互(文本与语音的分离)来欺骗用户做出授权。这警示我们,未来的 AI Agent 安全架构不能仅依赖黑盒式的服务端内容分类器,而必须在系统底层实现“控制流”与“数据流”的强隔离。在 Agent 赋能智能家居、个人助理等高权域场景时,建立类似传统操作系统内核的最小权限原则和可信执行环境(TEE),将成为 AI 时代原生安全框架的必经之路。
