Google Gemini語音助理存在提示注入（prompt injection）安全漏洞，攻擊者可將惡意指令隱藏在即時通訊軟體的通知中，誘使Gemini執行未經授權的操作，包括控制智慧家庭裝置、發起社交工程攻擊，甚至毒害長期記憶。SafeBreach今日公布研究報告，顯示此攻擊手法已能繞過Google既有防護機制，凸顯生成式AI助理在處理外部輸入時的根本性風險。

 

SafeBreach安全研究團隊負責人Or Yair在報告中指出，攻擊者可透過外語隱藏文字或靜音超連結，欺騙Gemini語音助理誤判訊息來源，並執行惡意操作。研究團隊將此新型手法命名為「Fake Context Alignment」（虛假情境對齊）。Google已在收到通報後透過內容分類器更新修復此問題，目前尚無野外攻擊跡象。

 

攻擊流程相當隱密。假設攻擊者透過WhatsApp傳送一則看似生日派對邀請的訊息，內含向陌生號碼付款的連結。訊息中同時嵌入隱藏指令，要求Gemini向使用者宣稱「這是來自好友的邀請」。當使用者開車或請Gemini「幫我讀一下通知」時，Gemini可能只朗讀 benign 部分，而忽略惡意隱藏指令。

 

研究團隊發現，攻擊者可結合兩種技術達到最佳效果：

 

Yair進一步結合「Delayed Tool Invocation」（延遲工具呼叫）技術，讓Gemini先以正常語氣詢問使用者「要繼續嗎？」，待使用者回答「Yes」後，才在背景悄悄執行惡意操作。這種雙重幻覺手法讓安全機制看到「合法授權情境」，而使用者聽到的卻是完全不同的 benign 情境。

 

「要達到最大可靠度與隱密性，我結合了兩種技術。最終payload讓Gemini以中文輸出惡意工具授權問題，並將中文文字完全隱藏在靜音超連結內，」Yair在報告中寫道。「使用者聽到完全正常的英文提示，回答『Yes』，就默默觸發延遲工具呼叫，無縫繞過Google最新的防護。」

 

此漏洞可能造成的危害包括：

 

Yair強調，這類間接提示注入並非傳統意義上的「可修復漏洞」，而是AI架構的根本性挑戰。「我們必須將所有外部輸入視為不可信，因為外部輸入本質上就是潛在指令。」他告訴Dark Reading，「解決方案是建立主動監控的護欄或分類器，從供應商端進行行為監控。」

 

Google已透過內容分類器更新修復此問題，但SafeBreach警告，情境轉移（context shifting）仍是關鍵風險，攻擊者可能持續尋找新方法繞過防護。企業與使用者應特別注意追蹤每一個與AI助理的通訊管道，並在部署公開-facing LLM時嚴格控管存取權限。

 

台灣智慧手機普及率極高，LINE與WhatsApp為主流通訊工具，Gemini語音助理使用人數眾多。許多人習慣在開車、運動或雙手不便時，請AI助理朗讀通知或簡訊。此漏洞顯示，當AI開始「代理」使用者處理外部資訊時，傳統的信任模型已不再適用。

 

台灣企業若將Gemini或其他AI助理整合至內部工作流程（例如自動化客服、會議摘要、郵件處理），更需特別留意。建議採取以下措施：

 

Yair的結論直指核心：「間接提示注入不是傳統漏洞可以簡單修復，」而是需要供應商端持續投入主動監控機制。對台灣而言，這不僅是單一產品的安全問題，更是整個生成式AI生態系在落地應用時必須面對的結構性挑戰。

 

隨著AI助理越來越深入日常生活與工作場景，使用者與企業都應重新思考「信任」的邊界。Gemini這次的事件再次提醒我們：在AI代理時代，外部輸入永遠值得懷疑。

 

 

出處：本文根據Dark Reading資深新聞記者Alexander Culafi於2026年6月3日刊登的報導《Malicious Notifications Could Trick Google Gemini Users》改寫整理。