Google Calendar + Gemini：普通日历邀请竟能变成隐蔽监控工具

安全研究人员在Google AI生态中发现了一种新型漏洞攻击者无需受害者点击任何链接或下载文件仅通过一个标准日历邀请就能将Google的AI助手Gemini转变为数据窃取工具绕过Calendar隐私控制并泄露私人会议信息。这一漏洞由Miggo Security研究主管Liad Eliyahu领导的团队发现属于典型的间接提示注入Indirect Prompt Injection攻击。研究已于2026年1月负责披露给Google并得到确认与修复。The Calendar Invite That Hacked Googles Gemini AI上图攻击概览示意图展示攻击者如何通过武器化的Google Calendar邀请利用Gemini实现数据泄露。漏洞利用机制简单却致命攻击方式出奇简单却高度隐蔽。攻击者只需向目标用户发送一个普通日历邀请并在描述Description字段中嵌入精心设计的恶意自然语言指令dormant payload。这些指令不会立即触发只有当用户向Gemini询问日程相关问题时才会被激活。例如用户问“我周六有空吗”或类似日常查询时Gemini会自动扫描用户日历以生成回答。此时隐藏载荷被触发引导Gemini执行以下步骤汇总整理用户当天所有会议的摘要包括私人或敏感会议。窃取将敏感摘要写入Gemini自动创建的一个新日历事件的描述字段中。伪装对用户回复看似无害的信息例如“这是个空闲时段”。从用户视角看Gemini表现完全正常但后台已悄然创建新事件并将私人会议完整摘要存入其中攻击者后续可轻松访问该事件实现数据外泄。Prompt Injections: A Practical Taxonomy of Attack Methods | Pangea上图间接提示注入Indirect Prompt Injection的分类与流程示意图清晰展示攻击者如何通过上下文数据注入影响LLM行为。绕过现有防御语义攻击的威力Google已部署独立语言模型来检测恶意提示但这条攻击路径完全依赖自然语言绕过了基于模式匹配的防御。研究指出载荷中的恶意部分“看起来像是用户可能合法给出的合理甚至有益的指令”并非明显的危险字符串。这使得传统安全工具难以识别——它们擅长检测“语法”类攻击如SQL注入却对依赖上下文和意图的“语义攻击”束手无策。Liad Eliyahu强调“Gemini不仅是聊天界面更是能访问工具和API的应用层。”随着AI Agent获得实际操作能力如创建事件、发送邮件攻击面变得更加“模糊”——恶意命令与合法命令在语言上完全一致。Google Online Security Blog: Mitigating prompt injection attacks with a layered defense strategy上图Google针对提示注入的层级防御策略示意图展示检测与响应机制但也凸显了语义攻击的挑战。更深层的启示AI安全范式转变这一漏洞并非孤立事件而是AI-native威胁的典型案例。它揭示了当AI深度集成企业生产力工具如Calendar、Gmail时可信数据源本身可能成为攻击向量。传统应用安全关注代码和语法边界而AI安全的核心正在转向语义层需要系统具备运行时推理能力来判断意图、归因来源并追踪数据流向。Eliyahu总结道行业必须超越简单关键词拦截。有效防护需要全新的思路包括动态语义分析数据来源归因细粒度操作授权与审计Hiding Prompts in Plain Sight: A New AI Security Risk上图提示注入攻击的基本流程对比图突出直接注入与间接注入的差异。企业应采取的行动类似漏洞提醒我们AI Agent的自主性和工具调用能力极大提升了生产力同时也放大了隐性风险。企业需将AI集成组件视为独立的高风险实体进行单独治理。实施“零信任”式的上下文验证对AI访问的敏感数据进行额外隔离与监控。建立运行时行为审计机制追踪AI Agent的实际操作而非仅依赖初始提示。