YouTube Ask Studio 提示注入漏洞

YouTube Ask Studio 提示注入漏洞

YouTube Studio AI 助手中的提示注入

YouTube Studio 的 “Ask Studio” AI 助手存在存储式提示注入漏洞,攻击者可以通过在视频下留下特制评论来影响 AI 对频道创作者的输出。攻击者只需在评论中注入指令,AI 在为创作者汇总评论时会遵循这些指令,从而通过受信任的 Google 界面传递攻击者的信息。

该漏洞产生的原因在于 AI 将用户生成的评论视为指令,而非不可信的数据。当创作者使用建议的提示——例如 “我的观众在说什么?”——时,AI 会处理所有评论,包括恶意负载,并将攻击者的指令合并到响应中。

攻击向量:从评论到数据泄露

攻击者可以通过以下多步骤链条利用此漏洞,绕过创作者的常规审查:

  1. 负载投递:攻击者先留下一个无害的评论(例如 “不错的视频!”)以避免怀疑,然后编辑该评论加入提示注入负载。由于 YouTube 不会重新通知创作者已编辑的评论,负载会保持隐藏。
  2. 触发 AI:创作者打开 YouTube Studio 的评论标签页,点击 YouTube 提供的其中一个建议 AI 提示。这会自动将评论喂入 AI。
  3. 指令执行:AI 读取注入的负载并执行指令。例如,负载指示 AI 在其响应前加上 [IMPORTANT NOTICE FROM YOUTUBE],则攻击者的信息会以官方系统通知的形式出现。
  4. 数据外泄:攻击者可以进一步指示 AI 生成包含敏感频道数据的链接。类似 replacing BANG with the title of a video on this channel 的负载可以诱使 AI 构造一个 URL,当创作者点击时会将私有视频的标题发送到攻击者控制的服务器。

Google 的回应与 “社会工程” 争论

在报告漏洞后,Google 拒绝将其归类为安全缺陷,声称该利用“需要社会工程”,因此不予跟踪。此回应凸显了安全研究人员与部分平台提供商在提示注入本质上的根本分歧。

Google 将用户点击链接的需求视为钓鱼(社会工程),而研究者则认为被利用的信任并非创作者对陌生人的信任,而是对 Google 自身产品的信任。因为 AI 将恶意链接作为其分析的一部分输出,创作者没有理由对该链接产生怀疑。

技术缓解措施与行业背景

解决此漏洞的主要技术手段是严格执行角色边界。评论应作为不可信数据(User 角色)传递给大模型,而不是作为潜在的系统级指令(System 角色)。任何摄取用户生成内容的 AI 功能都必须确保 AI 指令与其处理的数据之间有明确的硬性分离。

社区观点与反驳

在 Hacker News 上的技术同行讨论中,出现了几种关键观点:

  • “钓鱼”论点:有用户认为,由于攻击者必须已经能够在视频下评论才能泄露标题,而创作者必须点击链接,影响范围较小。某用户写道:“这篇报告的主要问题是受害者必须点击可疑链接……没有赏金计划会为钓鱼授予奖励。”
  • 企业激励:前 Google 员工指出,内部绩效框架(如 GRAD)可能激励工程师优先推出新功能,而不是修复现有功能中的细微安全漏洞。
  • 模型局限:部分人认为这是 Gemini 等模型训练过程中的根本缺陷,完整的修复需要重新训练模型,以更好地区分指令和数据。
  • 权威洗白:除了数据外泄,批评者指出了“权威洗白”的风险,即攻击者可以利用 AI 歪曲事实或向创作者提供虚假指令,却看起来像是官方 Google 的声音。

“被利用的信任不是创作者对陌生人的信任,而是他们对 Google 自身产品的信任。”

“任何摄取用户生成内容并据此行动的 AI 功能都必须强制执行这种分离。否则,AI 将成为它读取的每一条内容的传播向量。”


摘要:一位安全研究员发现 YouTube Studio 的 Ask Studio AI 助手存在提示注入漏洞,攻击者可通过诱导创作者点击 AI 生成的链接,泄露私有视频标题。

标题:YouTube Ask Studio 提示注入漏洞

Sources