資安公司FireTail研究發現,多家大型語言模型服務可能面臨ASCII走私(ASCII Smuggling)攻擊風險,其中Gemini、Grok與DeepSeek在測試中被證實可能受此手法影響。研究指出,這類攻擊在與企業應用或生產力服務深度整合的情境下風險更高,例如語言模型在處理行事曆、郵件或文件內容時,可能讀取到介面上看不見但實際存在的隱藏指令。
所謂ASCII走私,是利用Unicode Tags區段與零寬控制字元,把隱形內容夾帶在看似正常的文字裡,由於這些字元在多數人機介面不顯示,因此畫面上看起來乾淨無異常,但大型語言模型在前處理階段仍會接收並解析完整的原始字串。當介面顯示的內容與模型實際接收到的輸入不一致時,系統的決策或自動化流程可能在使用者無察覺的情況下被改變。
研究人員以可重現的提示測試說明風險,表面上的請求是請模型列出5個隨機單字,然而實際原始字串則包含要求僅輸出FireTail的隱形覆寫語句,而模型最終僅輸出FireTail一詞,顯示輸入清理與正規化流程未能在前處理階段移除不可見控制字元。
在Google Workspace情境,攻擊者可提供含隱形字元的行事曆邀請,受邀者在日曆中只看到普通標題,但Gemini在讀取事件時會解析隱藏指令,進而覆寫描述、連結甚至建立者資訊。測試指出即使受害者未按下接受,模型仍會處理該事件物件,擴大了社交工程與身分偽冒的風險。
研究指出ChatGPT、Copilot、Claude在輸入清理上表現較佳,Gemini、Grok和DeepSeek則被證實可受此攻擊手法影響。不過,Grok在社群貼文情境曾經能提示隱藏內容,不同整合路徑的行為可能存在差異。
研究人員就研究結果向Google進行通報,獲回覆為暫不採取行動。根據Google信件回覆(下圖),經Google內部調查後認為回報內容屬於預期行為,而非系統性安全漏洞,該問題主要涉及社交工程情境,並不構成技術層面的資安缺陷,因此不會納入安全性追蹤或修補流程。FireTail研究團隊其後公開細節,並將此定義為應用層的輸入處理問題,呼籲使用者強化自家流程的可觀測性與稽核。
圖片來源 / FireTail
研究團隊強調,防護的關鍵在於監控大型語言模型實際接收到的原始輸入資料,而非僅依賴介面所見的文字。企業透過比對UI可見內容與實際輸入字串,並在輸入層導入對Unicode隱藏字元的檢測與清洗,便能大幅降低此類攻擊風險。該偵測方式不僅適用於員工直接操作人工智慧助理的場景,也能涵蓋企業系統後端利用大型語言模型進行自動化任務的情境,確保所有人工智慧互動環節都能被監控與防護。
