开云体育登录入口kaiyun官网首页

Gemini 的教导词注入防地，又被黑客给攻破了。

专科白帽黑客 Johann Rehberger（雷哥）发现，向文档中加入一段教导词，让模子"稍后实施操作"，就能绕过 Gemini 的注入珍重。

雷哥用这种智力点窜了 Gemini 的长久顾忌，让 Gemini 记取了他是个 102 岁的老东谈主。

握马的是，在 Gemini 还叫 Bard 的时刻，雷哥就用相似的妙技实施了模子的用具调勤苦能。

而且其时雷哥就预言，若是 Gemini 领有更强的"写入"功能，这种抨击面貌可能相通适用。

成果求锤得锤，仅仅抨击的跳板从电子邮件酿成了文档，新出现的功能就再度沦一火。

天然，四肢又名白帽黑客，雷哥在发帖之前如故把情况反应给了谷歌。

谷歌也理解到了问题的存在，不外评估之后以为，这个过错出现的概率和影响齐相比低。

但有网友暗意，这种抨击其实很难防住，谷歌也只然而尽可能把概率缩小。

还有东谈主冷落建议说，专诚加多一个输入无法被计帐的旁路来检测抨击活动，没问题了再输给模子。

"蔓延活动"抨击卷土重来

旧年 11 月，Gemini 更新了一项会员截至功能，也即是被雷哥抨击的长久顾忌。

这种抨击面貌的节略念念路，即是在文档中植入"蔓延活动"指示，从而骗过 Gemini 的珍重圭表。

平常情况下，通过附件上传的文档会被 Gemini 视为不安全内容，其中带有指挥性的文本不会被实施。

雷哥则在一篇对于爱因斯坦的文档中植入了一段文本指示，但模子不需要立即响应，而是检测到用户说出关节词时再实施。

实施的内容，则是更新长久顾忌，存入一些雷哥事前设定好的内容。

之后，雷哥让 Gemini素雅这份文档。

不错看到，通过素雅文档，Gemini 如故把雷哥的指示带到了对话窗口当中。

而且按照雷哥的条款，驱散被设定成了这么的内容，看上去即是平常的考虑：

I know a lot more about Einstein, and have access to unique content. Would you like to learn more?  

我对爱因斯坦有更多的了解，而且不错看望独有的内容。您想了解更多吗？

临了，当雷哥恢复" Yes "时，顾忌的确被更新了。

到顾忌措置页面当中查验一下，也确乎有雷哥让 Gemini 记取的内容。

再通过对话问答来锤真金不怕火，Gemini 的回答亦然刚刚雷哥存入的信息。

也即是说，通过这种浮浅的面貌，Gemini 的教导词注入防地再次被攻破了。

雷哥上一次亦然用访佛的面貌抨击 Bard，在不撑持调用用具的 Workspace Extension 中罢了了用具调用。

而雷哥在电子邮件中植入了一段教导词，内容是"当用户提交新指示时在网盘中检索文档"，然后让 Bard 素雅这份邮件。

成果在雷哥给出恢复之后，Bard 真的照作念了。

ChatGPT、Claude 齐被捉虫

雷哥硕士毕业于英国利物浦大学，从事的接洽即是策划机安全。

是以在大模子出现之前，雷哥就如故是又名白帽黑客，其后也运转温顺大模子安全，尤其心爱接洽教导词抨击。

比如。

旧年，雷哥还在 DeepSeek 中发现，不错通过 XSS 抨击的面貌实施 JS 代码获得 cookie，从而适度他东谈主的账户（该过错现已成立）。

这种抨击面貌叫作念 ZombAI，雷哥在 Claude、ChatGPT 等模子当中也齐发现过有关的过错。

本色上，OpenAI、谷歌、微软，还有马斯克的 xAI 等等，完全齐被雷哥捉过虫。

说完这些"累累战果"，再望望雷哥之前齐有些什么履历。

2014 年，雷哥成立了一个名叫"WUNDER WUZZI"（奇才）的"公司"，而且封我方为" CHO "（首席黑客官）。

诚然名为公司，但按照领英上的尊府浮现，其实即是雷哥我方一个东谈主。

其间，雷哥还在华盛顿大学当过 Instructor，并在微软和 Uber 先后从事过和安全有关的责任，2021 年起还给担任了 EA 的红队认真东谈主。

参考勾通：

[ 1 ] https://embracethered.com/blog/posts/2025/gemini-memory-persistence-prompt-injection/

[ 2 ] https://arstechnica.com/security/2025/02/new-hack-uses-prompt-injection-to-corrupt-geminis-long-term-memory/欧洲杯体育