AI
智能家居系统在享受AI带来的便利时,也面临着一种新型网络安全威胁——提示词注入攻击(Promptware)。这种攻击方式能够将恶意指令植入AI系统可读取的位置,使其自动执行危险操作,例如控制家中的暖气、灯光,甚至解锁门锁。与传统病毒攻击不同,这类威胁无法被常规杀毒软件或防火墙检测到。
提示词注入攻击的兴起
今年夏天,在Blackhat安全大会上,以色列特拉维夫大学研究人员Ben Nassi领导的团队展示了一项令人警觉的研究成果。他们成功利用藏匿于普通消息中的恶意提示词,操控谷歌的Gemini AI执行开启智能窗户、启动联网锅炉、发送用户地理位置等操作,这一切均得益于Gemini与Google Home及相关应用的深度集成。更为危险的是,许多此类攻击属于"零点击"类型,用户无需点击任何链接或文件,Gemini仅需读取一封邮件标题或日历事件,隐藏其中的恶意指令便会自动触发。
好消息是,谷歌已于2025年初获悉上述漏洞,并建立了相应的安全防护机制。谷歌发言人表示:"与白帽黑客及安全研究人员的积极合作是一项极具价值的举措,推动了富有成效的测试与漏洞发现工作,使AI系统更加安全可靠。我们积极参与并高度重视AI漏洞奖励计划等项目。"
持续演进的威胁
这些漏洞的发现揭示了提示词注入攻击的巨大危害,以及AI系统在最不起眼的位置被欺骗的可能性。随着Alexa Plus和Gemini for Home的持续扩张,以及苹果计划于2026年进军智能家居领域并推出Siri AI,这一威胁仍在不断演变。
2026年7月发布的一份Crowdsource报告列举了五种新型提示词注入威胁。其中,"无意识用户上下文数据注入"可能在用户粘贴网络上的指令来配置智能家居应用时引发问题;"触发激活规则添加"攻击则将恶意代码分为两部分——先注入隐藏规则,再通过另一次注入触发,在关键时刻夺取控制权。
五大防护措施
既然提示词注入仅凭让AI读取内容就能突破防线,应如何应对?以下几项安全措施不仅能有效抵御这类威胁,在AI时代同样能防范其他隐私和安全问题。
始终保持设备更新
系统更新历来是修补安全漏洞的第一道防线。在AI时代,更新同样为手机上的AI功能提供重要安全补丁。务必将手机操作系统和所有应用程序保持最新版本,并在设置允许的情况下开启自动更新。
不打开来源不明的消息
并非所有提示词注入攻击都是"零点击"的,部分攻击需要用户主动打开消息才能将恶意提示植入AI可读取的位置。对于任何不认识的发件人或消息,建议直接删除,避免打开查看。谷歌表示:"提示词注入攻击虽然是AI特有的威胁,但其基本原理与长期存在的网络钓鱼攻击如出一辙——攻击者会持续探测新漏洞。"
谨慎使用AI摘要功能
很多情况下,AI只有在被要求执行操作时才会读取相关内容,例如总结邮件、创建日历事件、整理在线文档等。为降低风险,建议尽量亲自查阅重要信息,减少对AI摘要功能的依赖。
关闭邮件、日历等应用中的AI功能
切断提示词注入攻击的来源是有效的防护手段。建议关闭邮件、短信摘要、日历等生产力应用中的AI功能,以大幅降低风险。如果需要保留部分AI功能,可将其设置为仅在用户主动指令时才执行操作,即"人在回路"(HITL,Human-in-the-Loop)防御机制,确保AI不会在无人监督的情况下自行处理可能含有恶意指令的内容。
不要随意复制粘贴邮件主题、文件名或代码
恶意提示词往往隐藏在较长描述的末尾、邮件主题、文件名或代码片段中。建议养成习惯,在复制粘贴此类内容前仔细检查,确保其中没有隐藏的异常指令。
Q&A
Q1:提示词注入攻击(Promptware)是什么?它对智能家居有什么危害?
A:提示词注入攻击是一种将恶意指令隐藏在AI系统可读取位置的新型网络攻击方式。当Gemini、Claude等大语言模型AI读取这些内容后,会自动执行恶意命令,可能导致攻击者远程控制智能家居设备,如开关灯光、控制暖气甚至解锁门锁。与传统攻击不同,它无法被常规杀毒软件或防火墙检测到,危害性极大。
Q2:谷歌Gemini的提示词注入漏洞已经修复了吗?
A:已修复。特拉维夫大学研究人员在Blackhat大会上演示了利用Gemini漏洞控制智能家居设备的攻击方式后,谷歌于2025年初获悉相关漏洞并建立了安全防护机制。谷歌表示高度重视与安全研究人员的合作,并积极参与AI漏洞奖励计划,目前用户无需担心Gemini被上述智能家居控制类提示词注入攻击所利用。
Q3:普通用户如何防范提示词注入攻击?
A:可以从以下几点入手:第一,保持手机系统和应用程序更新;第二,不打开来源不明的消息;第三,减少使用AI对邮件、文档的摘要功能;第四,关闭邮件、日历等应用中的AI功能,或设置为仅在用户主动指令时执行;第五,复制粘贴邮件主题、文件名或代码前仔细检查,防止末尾藏有恶意指令。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。