安全公司FireTail研究发现，多家大型语言模型服务可能面临ASCII走私（ASCII Smuggling）攻击风险，其中Gemini、Grok与DeepSeek在测试中被证实可能受此手法影响。研究指出，这类攻击在与企业应用或生产力服务深度整合的情境下风险更高，例如语言模型在处理日历、邮件或文档内容时，可能读取到界面上看不见但实际存在的隐藏指令。

所谓ASCII走私，是利用Unicode Tags区段与零宽控制字符，把隐形内容夹带在看似正常的文字里。由于这些字符在多数人机界面不显示，因此画面上看起来干净无异常，但大型语言模型在预处理阶段仍会接收并解析完整的原始字符串。当界面显示的内容与模型实际接收到的输入不一致时，系统的决策或自动化流程可能在用户无察觉的情况下被改变。

研究人员以可重现的提示测试说明风险：表面上的请求是请模型列出5个随机单词，然而实际原始字符串则包含要求仅输出FireTail的隐形覆写语句，而模型最终仅输出FireTail一词，显示输入清理与规范化流程未能在预处理阶段移除不可见控制字符。

在Google Workspace情境中，攻击者可提供含隐形字符的日历邀请，受邀者在日历中只看到普通标题，但Gemini在读取事件时会解析隐藏指令，进而覆写描述、链接甚至创建者信息。测试指出，即使受害者未点击接受，模型仍会处理该事件对象，扩大了社交工程与身份冒用的风险。

研究指出ChatGPT、Copilot、Claude在输入清理方面表现较佳，Gemini、Grok和DeepSeek则被证实可受此攻击手法影响。不过，Grok在社群贴文情境下曾能提示隐藏内容，不同整合路径的行为可能存在差异。

研究人员就研究结果向Google进行通报，获得回复为暂不采取行动。根据Google邮件回复（下图），经内部调查后认为报告内容属于预期行为，而非系统性安全漏洞，该问题主要涉及社交工程情境，并不构成技术层面的安全缺陷，因此不会纳入安全追踪或修补流程。FireTail研究团队其后公开细节，并将此定义为应用层的输入处理问题，呼吁用户加强自身流程的可观测性与审计能力。

研究团队强调，防护的关键在于监控大型语言模型实际接收到的原始输入数据，而非仅依赖界面所见的文字。企业通过比对UI可见内容与实际输入字符串，并在输入层导入对Unicode隐藏字符的检测与清洗，便能大幅降低此类攻击风险。该检测方式不仅适用于员工直接操作人工智能助手的场景，也能涵盖企业系统后端利用大型语言模型进行自动化任务的情境，确保所有人机交互环节都能被监控与防护。