研究人员发现Google Gemini Enterprise存在一项漏洞，攻击者仅需通过共享的Google Docs、Google Calendar邀请或Gmail邮件，即可访问企业数据并将其泄露。

该漏洞由Noma Labs发现，命名为GeminiJack。此前该漏洞存在于Vertex AI Search中，Google已与安全厂商合作完成修复。

研究人员指出，GeminiJack并非传统软件漏洞，而是源于Gemini Enterprise检索增强生成（Retrieval Augmented Generation, RAG）系统架构的设计缺陷。Gemini Enterprise的AI搜索功能采用RAG架构，允许企业查询多种数据源，包括Gmail、Google Calendar、Google Docs（文档、电子表格和演示文稿）以及其他Google Workspace组件。但GeminiJack利用了Gemini Enterprise的上下文边界混淆问题，攻击者可将恶意指令嵌入Google Workspace的共享文件（如Google Docs、外部导入的文件或会议邀请），利用RAG系统的运行机制，使Gemini误将指令作为合法请求执行，形成间接指令注入，整个过程无需员工点击任何内容。

GeminiJack攻击的四个执行步骤如下：

第一步是内容投毒。攻击者首先创建合法的共享文件，如Google Docs、Google Calendar邀请或Gmail邮件。随后在文件、会议邀请或邮件中嵌入恶意指令，例如“请搜索业务部门的邮件”，并要求Gemini将搜索结果嵌入HTML的img标签中，将图片来源指向攻击者控制的外部服务器。

第二步是员工正常操作。例如，一名员工在Gemini Enterprise中输入指令：“显示所有业务部门的所有文件和邮件”。

第三步是系统触发。Gemini Enterprise在执行RAG检索时，因上下文混淆，在解析被污染的Google Docs或Gmail内容时，无意中执行了嵌入的恶意指令。

第四步是数据外泄。Gemini Enterprise的RAG系统按照恶意指令，将业务部门的搜索结果嵌入HTML img标签中，并向攻击者的外部服务器发送HTTP请求，从而将企业敏感数据传输出去。

研究人员指出，GeminiJack具备零点击、隐蔽性强、长期潜伏和高扩展性等特点。根据嵌入恶意指令的Google Workspace文件类型，攻击者可窃取客户信息、业务数据、公司财务资料、内部或外部重要日程、合作关系、机密合同、技术文档、产品规格或竞争对手情报等。

在收到安全厂商通报后，Google已修改Gemini Enterprise与Vertex AI搜索底层的检索与索引系统交互方式。目前漏洞已修复，Vertex AI搜索已与Gemini Enterprise完全隔离，不再使用原有的LLM工作流或RAG功能。