SafeBreach 披露 Gemini「伪上下文对齐」攻击:假短信可绕过语音授权
2026-06-21 10:30:00
Gemini Fake Context Alignment 漏洞深读
攻击名称
Fake Context Alignment(伪上下文对齐)
原理
- 攻击者经 WhatsApp、短信 发送 构造通知
- 恶意指令藏在 其他语言文本 或 静音超链接(muted hyperlinks)
- 利用 Delayed Tool Invocation 安全机制弱点
- Gemini 误判用户已授权 → 执行 敏感操作
两种模式
| 模式 | 手法 |
|---|---|
| 文本注入 | 多语言隐藏指令 |
| 语音场景 | 朗读 不念出链接内容 → 用户说「Yes」= 授权链接内指令 |
时间线
- 2025/8:SafeBreach 首次报告 Google
- 2025/11:Google 改进内容分类器 部分缓解
- 2026/6/21:公开披露细节
防御建议
- 富文本消息 进入 Agent 上下文前 sanitize
- 语音授权 需 二次确认具体动作(非泛化 Yes)
- Delayed Tool 调用前 显式展示待执行操作
关联
与 AutoJack、Mastra 供应链 共同构成 2026 Agent 安全三连击。