Gemini 的辅导词注入防地开云(中国)Kaiyun·体育官方网站-登录入口，又被黑客给攻破了。

专科白帽黑客 Johann Rehberger（雷哥）发现，向文档中加入一段辅导词，让模子"稍后奉行操作"，就能绕过 Gemini 的注入留意。

雷哥用这种圭臬批改了 Gemini 的永恒牵挂，让 Gemini 记取了他是个 102 岁的老东谈主。

捏马的是，在 Gemini 还叫 Bard 的期间，雷哥就用相似的技术奉行了模子的器具调勤劳能。

而且那时雷哥就预言，如若 Gemini 领有更强的"写入"功能，这种挫折形式可能相似适用。

后果求锤得锤，仅仅挫折的跳板从电子邮件造成了文档，新出现的功能就再度毕命。

天然，动作别称白帽黑客，雷哥在发帖之前也曾把情况反馈给了谷歌。

谷歌也剖释到了问题的存在，不外评估之后以为，这个罅隙出现的概率和影响王人比拟低。

但有网友示意，这种挫折其实很难防住，谷歌也只然而尽可能把概率裁减。

还有东谈主提倡建议说，专诚增多一个输入无法被计帐的旁路来检测挫折步履，没问题了再输给模子。

"延长行径"挫折卷土重来

前年 11 月，Gemini 更新了一项会员放置功能，也即是被雷哥挫折的永恒牵挂。

这种挫折形式的简略想路，即是在文档中植入"延长行径"指示，从而骗过 Gemini 的留意设施。

平方情况下，通过附件上传的文档会被 Gemini 视为不安全内容，其中带有携带性的文本不会被奉行。

雷哥则在一篇对于爱因斯坦的文档中植入了一段文本指示，但模子不需要立即响应，而是检测到用户说出要津词时再奉行。

奉行的内容，则是更新永恒牵挂，存入一些雷哥事前设定好的内容。

之后，雷哥让 Gemini回顾这份文档。

不错看到，通过回顾文档，Gemini 也曾把雷哥的指示带到了对话窗口当中。

况兼按照雷哥的条目，收尾被设定成了这么的内容，看上去即是平方的考虑：

I know a lot more about Einstein, and have access to unique content. Would you like to learn more?  

我对爱因斯坦有更多的了解，况兼不错拜访特有的内容。您想了解更多吗？

临了，当雷哥修起" Yes "时，牵挂确凿被更新了。

到牵挂措置页面当中搜检一下，也照实有雷哥让 Gemini 记取的内容。

再通过对话问答来现实，Gemini 的回答亦然刚刚雷哥存入的信息。

也即是说，通过这种简便的形式，Gemini 的辅导词注入防地再次被攻破了。

雷哥上一次亦然用近似的形式挫折 Bard，在不复古调用器具的 Workspace Extension 中竣事了器具调用。

而雷哥在电子邮件中植入了一段辅导词，内容是"当用户提交新指示时在网盘中检索文档"，然后让 Bard 回顾这份邮件。

后果在雷哥给出修起之后，Bard 真的照作念了。

ChatGPT、Claude 王人被捉虫

雷哥硕士毕业于英国利物浦大学，从事的筹商即是揣测机安全。

是以在大模子出现之前，雷哥就也曾是别称白帽黑客，其后也启动关心大模子安全，尤其可爱筹商辅导词挫折。

比如。

前年，雷哥还在 DeepSeek 中发现，不错通过 XSS 挫折的形式奉行 JS 代码赢得 cookie，从而戒指他东谈主的账户（该罅隙现已建筑）。

这种挫折形式叫作念 ZombAI，雷哥在 Claude、ChatGPT 等模子当中也王人发现过关连的罅隙。

内容上，OpenAI、谷歌、微软，还有马斯克的 xAI 等等，透顶王人被雷哥捉过虫。

说完这些"累累战果"，再望望雷哥之前王人有些什么资格。

2014 年，雷哥竖立了一个名叫"WUNDER WUZZI"（奇才）的"公司"，况兼封我方为" CHO "（首席黑客官）。

天然名为公司，但按照领英上的贵府裸露，其实即是雷哥我方一个东谈主。

其间，雷哥还在华盛顿大学当过 Instructor，并在微软和 Uber 先后从事过和安全关连的职责，2021 年起还给担任了 EA 的红队适当东谈主。

参考纠合：

[ 1 ] https://embracethered.com/blog/posts/2025/gemini-memory-persistence-prompt-injection/

[ 2 ] https://arstechnica.com/security/2025/02/new-hack-uses-prompt-injection-to-corrupt-geminis-long-term-memory/开云(中国)Kaiyun·体育官方网站-登录入口