安全研究人员发现，谷歌Gemini for Workspace存在一个重大漏洞，威胁者可借此在邮件中嵌入隐藏的恶意指令。

攻击者利用这款人工智能助手的“总结此邮件”功能，显示伪造的、看似来自谷歌官方的安全警告，进而可能实施凭证窃取和社会工程学攻击。

核心要点

攻击者利用不可见的HTML/CSS代码在邮件中隐藏恶意指令，Gemini在总结邮件时会对这些代码进行处理。此类攻击仅需精心构造的HTML标签，无需链接、附件或脚本。Gemini会显示攻击者伪造的、看似来自谷歌的钓鱼警告，诱骗用户泄露凭证。该漏洞影响Gmail、文档（Docs）、幻灯片（Slides）和云端硬盘（Drive），可能在谷歌Workspace中催生人工智能蠕虫。

一名研究人员向0DIN提交了相关发现（提交ID：0xE24D9E6B），并演示了这一漏洞。攻击者通过嵌入在邮件中的特制HTML和CSS代码，采用提示词注入技术操纵Gemini的人工智能处理功能。

与传统钓鱼攻击不同，这种攻击无需链接、附件或外部脚本，仅需在邮件正文中隐藏经过特殊格式处理的文本。

攻击原理是利用Gemini对隐藏HTML指令的处理方式。攻击者将指令嵌入<Admin>标签内，同时使用白色文字配白色背景、字体大小设为零等CSS样式，使内容对收件人不可见。

当受害者点击Gemini的“总结此邮件”功能时，人工智能助手会将隐藏指令当作合法的系统命令进行处理，并在总结结果中如实呈现攻击者伪造的安全警报。

谷歌GeminiforWorkspace漏洞详情

该漏洞属于间接提示词注入（IPI），即提供给人工智能模型的外部内容中包含隐藏指令，这些指令会成为有效提示词的一部分。安全专家按照0DIN分类法，将这种攻击归为“策略→元提示→欺骗性格式”类别，社会影响评分中等。

概念验证示例显示，攻击者可插入包含管理员风格指令的不可见跨度（span），这些指令会指示Gemini在邮件总结中添加紧急安全警告。

这类警告通常会催促收件人拨打特定电话或访问特定网站，为凭证收集或语音钓鱼方案创造条件。

该漏洞的影响范围不止于Gmail，还可能波及谷歌Workspace中集成Gemini的其他产品，包括文档、幻灯片和云端硬盘的搜索功能。这形成了一个重大的跨产品攻击面，任何涉及Gemini处理第三方内容的工作流程都可能成为潜在的注入载体。

安全研究人员警告称，一旦SaaS账户遭到入侵，攻击者可能会利用自动化的新闻通讯、客户关系管理系统（CRM）以及工单邮件，将其转化为成千上万个“钓鱼信标”，对广大用户构成广泛而持续的网络安全威胁。

这种技术还引发了对未来“人工智能蠕虫”的担忧——此类蠕虫可能在邮件系统中自我复制，从单个钓鱼尝试升级为自主传播。

缓解措施

安全团队应采取多项防御措施，包括对入站HTML进行代码检查以剥离不可见样式、配置大语言模型（LLM）防火墙，以及部署可扫描Gemini输出内容中可疑信息的后处理过滤器。

各组织还应加强用户意识培训，强调人工智能总结仅为参考信息，而非权威的安全警报。

对于谷歌等人工智能提供商，建议的缓解措施包括在接收内容时进行HTML清理、改进上下文归因以区分人工智能生成文本与源材料，以及增强可解释性功能，向用户揭示隐藏的提示词。

这一漏洞凸显了一个新的现实：人工智能助手已成为攻击面的新组成部分，安全团队需将其作为潜在威胁载体进行监测、沙箱隔离和密切监控。