研究人員揭露攻擊鏈Cloudy Day,攻擊者可透過Google搜尋埋藏惡意指令發動
攻擊手法與技術背景
研究人員指出,攻擊者可透過Google搜尋,將惡意指令隱藏於搜尋結果中,並利用使用者點擊連結的行為發動攻擊。此類攻擊鏈結合AI技術,使惡意指令得以在無意識中執行,增加攻擊隱蔽性與成功率。
相關漏洞與案例
- Google Gemini for Workspace 存在指令注入漏洞,攻擊者可將惡意指令隱藏在電子郵件中,當企業用戶點擊「摘要」功能時即觸發。
- Perplexity的Comet瀏覽器在執行總結頁面任務時,未妥善隔離指令與頁面,導致攻擊者可在留言中藏匿惡意指令。
- 駭客試圖利用AI打造能自我進化的惡意程式,透過日常操作如提問、點擊連結等場景竊取個人資料。
產業回應與建議
資安業者呼籲企業加強對AI工具的審查與管控,並強化使用者對可疑連結與內容的警覺性。同時,Google已透過預設安全策略與憑證保護機制,有效阻擋部分傳統攻擊模式。