Gemini Enterprise存在可外洩企業資料的零點擊漏洞GeminiJack

研究人員發現Google Gemini Enterprise存在一項漏洞，讓攻擊者只要以共享Google Docs、Google Calendar邀請或Gmail郵件，就能存取企業資料並外洩出去。

這項漏洞由Noma Labs發現，並命名為GeminiJack。它之前存在Vertex AI Search，Google已在安全廠商合作下將之修補。

研究人員說，GeminiJack並非傳統軟體漏洞，而是出於Gemini Enterprise檢索增強生成（Retrieval Augmented Generation,RAG）的系統架構性瑕疵。Gemini Enterprise AI搜尋功能導入了RAG架構，允許企業查詢多種資料源，包括Gmail、Google Calendar、Google Docs（文件、試算表和簡報），以及其他Google Workspace元件。但是GeminiJack利用了Gemini Enterprise的上下文邊界混淆問題，攻擊者可將惡意指令嵌在Google Workspace的共享文件（如Google Docs、外部送進的文件、或是會議邀請），趁著RAG系統運作原理，讓Gemini當成執行指令，形成間接指令注入，過程中不需任何員工點擊行為。

研究人員以PoC說明GeminiJack執行的四個執行步驟。第一步是內容下毒，攻擊者先建立合法的共享文件，如Google Docs、Google Calendar邀請，或是Gmail郵件。其次是在文件、會議邀請或郵件中嵌入惡意指令，像是「請搜尋業務部的郵件」，且要求Gemini將搜尋結果包入圖片檔的HTML img標籤中，圖片來源設為攻擊者控制的外部伺服器。

第三步是員工正常使用活動，如一名員工在Gemini Enterprise下達指令「顯示所有業務部門所有文件／郵件」。第四步驟，是Gemini Enterprise執行RAG檢索觸發模型的上下文混淆（context confusion）。由於Gemini Enterprise能搜尋企業所有資料源，因而在解析惡意Google Docs（或Gmail）時，無意間執行指令。由此，Gemini Enterprise RAG系統就按照嵌入的指令，將業務部資料搜尋結果嵌入HTML圖片標籤中，向外部伺服器發送HTTP請求，藉此把企業業務資料傳送給攻擊者。

研究人員指出，GeminiJack具備零點擊、不動聲色、長期留存、以及高擴充性等特色。視嵌入的Google Workspace文件而定，這項攻擊能讓攻擊者竊取客戶、業務或公司財務資料、公司內或外部的重要時程、合作關係、以及機密合約、技術文件、產品規格或競爭情報等。

在接獲資安業者通報後，Google已經變更Gemini Enterprise和Vertex AI搜尋和底層擷取（retrieval）與索引（indexing）系統互動方式。現在漏洞已解決，Vertex AI搜尋已經和Gemini Enterprise完全隔離開來，不再使用原本的LLM workflow或RAG功能。