当前位置:77分类目录 » 站长资讯 » 资讯文章 » 站长新闻 » 文章详细 订阅RssFeed

AI插件诱导注入数据外泄漏洞曝光 攻击者可以将恶意指令注入Google Bard(ai插件如何使用)

来源:网络 浏览:23次 时间:2023-11-08

11月8日 消息:近期,Google Bard推出了强大的扩展功能,使其能够访问YouTube、搜索航班和酒店,以及用户的个人文档和电子邮件。然而,这也为潜在的安全漏洞敞开了大门。

国外一博主介绍了一种称为间接提示注入的攻击方法,利用这一漏洞,攻击者可以将恶意指令注入Google Bard,实现数据外泄。

image.png

漏洞的利用方法涉及图像标记注入,即将恶意指令嵌入图像标记中,以实现数据外泄。然而,Google实施了内容安全策略(CSP),以防止从任意位置加载图像。为了绕过CSP,作者发现了Google应用脚本的潜力,这些脚本类似于Office宏,可以通过URL调用并在脚本.google.com域上运行。

这一漏洞的修复时间线显示,作者于2023年9月报告了该问题,而Google于2023年10月确认已修复。但漏洞的具体修复方式尚不明确。