站長之家(ChinaZ.com) 11月8日 消息:近期，Google Bard推出了強大的擴展功能，使其能夠訪問YouTube、搜索航班和酒店，以及用戶的個人文檔和電子郵件。然而，這也為潛在的安全漏洞敞開了大門。

國外一博主介紹了一種稱為間接提示注入的攻擊方法，利用這一漏洞，攻擊者可以將惡意指令注入Google Bard，實現(xiàn)數(shù)據(jù)外泄。

漏洞的利用方法涉及圖像標(biāo)記注入，即將惡意指令嵌入圖像標(biāo)記中，以實現(xiàn)數(shù)據(jù)外泄。然而，Google實施了內(nèi)容安全策略（CSP），以防止從任意位置加載圖像。為了繞過CSP，作者發(fā)現(xiàn)了Google應(yīng)用腳本的潛力，這些腳本類似于Office宏，可以通過URL調(diào)用并在腳本.google.com域上運行。

這一漏洞的修復(fù)時間線顯示，作者于2023年9月報告了該問題，而Google于2023年10月確認(rèn)已修復(fù)。但漏洞的具體修復(fù)方式尚不明確。

（舉報）