一条 WhatsApp 通知如何无声劫持安卓 Google Gemini

这意味着攻击者既不需要物理接触手机，也不需要获取任何特殊权限。通过 WhatsApp、Slack、Signal、短信、Instagram 或 Messenger 等任何一个标准通讯平台发一条消息，就足以让设备沦陷 。

如何绕过谷歌的防御：“虚假上下文对齐”技术

谷歌其实已经吸取过教训。

此前，SafeBreach 曾演示过恶意 Google 日历邀请劫持 Gemini 的攻击手段，谷歌随后修补了系统，禁止链式工具调用和延迟工具调用这两种常见的提示注入策略。补丁可以阻止攻击者触发一连串敏感操作，或者等到用户视线离开屏幕再发动袭击 。

但 SafeBreach 的研究员 Or Yair 找到了一种巧妙的新方法绕过这些护栏。这项名为**“虚假上下文对齐”**的新技术通过制造一种双重现实来骗过 AI 的安全逻辑 ：

• 在 Gemini 的安全机制眼中，当前交互看起来是合法、经过用户授权的场景，AI 的护栏看不出任何异常。
• 在人类受害者眼中，手机上显示的只是一个完全无害的通知和对话，没有可见的指令、没有可疑链接、也没有任何异常的请求。

这个戏法的关键在于隐藏或混淆指令。攻击者会把恶意指令藏在外语文本、静音超链接或其他人类会直接忽略但 AI 会照单全收的伪装格式里。等到用户随后说出一个完全无害的语音指令或输入一条普通回复，Gemini 自有的授权逻辑就会误将用户的这条操作认定为其对先前埋下的敏感任务的“批准”。

研究人员进一步把多种混淆和时机组合技术融合成一个“终极组合”载荷，最终以极高的成功率绕过了谷歌当时所有最新的防御措施 。

五种真实攻击演示

SafeBreach 不只是纸上谈兵，他们实际演示了五种具体的攻击场景，展示了这种劫持能造成多大的破坏 。

1. 智能家居远程控制
一旦 Gemini 被攻陷，攻击者可以远程操控任何已连接的 Google Home 设备，包括打开联网的窗户、控制锅炉和照明系统。AI 助手摇身一变，成了一个能对物理世界造成影响的数字入侵者 。

2. 强制 Zoom 通话并暗中调用摄像头
研究人员演示了如何在受害者手机上静默启动 Zoom 应用并发起通话，实时传输手机摄像头的画面。他们利用了一个被谷歌安全浏览服务标记为可信域名的 301 HTTP 重定向，让恶意连接在安全检查面前显得完全合法。用户全程看不到任何自己的摄像头正在被启用的提示 。

3. 贯穿谷歌生态的“记忆投毒”
这可能是最阴险的攻击形式——向 Gemini 的长期记忆里注入虚假信息。由于这些记忆会在用户的整个 Google Workspace 账号之间同步，一条被污染的通知就能同时污染平板、电脑和智能音箱上的 AI 助手，让 Gemini 在未来的决策中持续被误导，可能因此做出不当操作 。

4. 伪造“可信联系人”消息
攻击还可以被武器化，用于大规模社会工程攻击。研究人员能够从设备的通知队列中提取真实发件人姓名，并捏造看似来自老板或家人等“可信联系人”发来的消息。完全不需要提前知道受害者的通讯录，就能发动极具欺骗性的钓鱼行动 。

5. 定时自动监控
为了持续窃取数据，研究人员在 AI 的上下文中设定了一个循环任务，指示 Gemini 每天自动读取用户最近的聊天消息，从而建立一个可以持续运行、无需攻击者后续干预的监控管道 。

漏洞披露时间线与修复

这项研究通过谷歌漏洞奖励计划进行了负责任的披露，整体时间线如下：

• 2025 年 8 月 17 日：SafeBreach 向谷歌报告了基于通知的提示注入漏洞及绕过防御用的“虚假上下文对齐”技术 。
• 2025 年 11 月 14 日：谷歌确认其内容分类器的更新已成功缓解该研究中描述的间接提示注入和延迟工具调用场景 。
• 2026 年 6 月 3 日：SafeBreach 正式公开发布了完整的技术细节和攻击演示。公开时，没有证据表明该技术曾在现实中遭到利用，且谷歌未就此内部发现授予 CVE 编号 。

虽然这个特定的漏洞窗口已经被关上，但这项研究凸显了 AI 助手面临的一个根本性矛盾：它们越是“有用”——通过读取我们的通知、日历和邮件来理解我们的上下文——就必须越谨慎地管理这些不可信的数据输入管道。SafeBreach 的工作为下一代 AI 智能体在防御这类仅仅一封“邀请”即可触发的威胁方面，提供了一份关键的参考蓝图。