伊朗偷偷用 Gemini 網路釣魚與寫腳本,被 Google 抓包
https://infosecu.technews.tw/2025/01/31/gemini-iran/
Google 指出,該公司發現中國、俄羅斯、伊朗,以及北韓的政府間諜使用 Gemini AI 來
進行其邪惡目的,其中又以伊朗最為頻繁。Google 一直在追蹤這些國家對 Gemini 的使
用狀況,這當中不僅是透過 IP 位址等簡單的操作來發現,還結合了使用技術訊號與行為
模式等。
這些受到政府支持的惡意份子雖然透過 Gemini 為特定的受害者翻譯、制定網路釣魚誘餌
、查找有關監視目標的訊息,以及編寫一些軟體腳本,但 Google 指稱,該公司設下的護
欄至少阻止了 Gemini 生成惡意軟體。
整體來說,Google 認為伊朗等國家派出的惡意份子沒有做出太出格的事情,他們主要是
透過 LLM 尋求資訊與指導,而這也是 LLM 應有的用途;換句話說,這些外國政府正在利
用 Gemini 來做壞事,但「情況還不算太糟」。
Google 威脅情報小組(TIG)在本週指出,雖然 AI 可以成為威脅行為者有用的工具,但
事實上還沒有成為人們有時所描述的那樣,成為遊戲規則改變者。雖然現在確實可以看到
威脅行為者使用生成式 AI 來執行故障排除、研究,以及內容生成等常見的任務,但目前
還沒有看到這些人透過生成式 AI 開發出新功能的跡象。
TIG 報告指出,在上述所提及的四個國家中,該團隊觀察到所有 Gemini 的使用情況,伊
朗間諜就佔了 75%。該團隊也發現超過十個接受伊朗支援的網路團隊使用 Gemini 服務,
其中一些團隊還特別專注於研究與 Android 相關的安全性。
換句話說,這些組織使用 Gemini 進行偵查、研究漏洞、識別免費託管服務提供者以及為
網路行動製作本地角色和內容。值得注意的是,伊朗的 APT42 部門利用 Gemini 製作網
路釣魚內容,佔該平台上所有伊朗 APT 或高階威脅行為者活動的 30%。
中國間諜也將其用於內容創作和基礎研究,迄今已發現 20 個來自中國的團體。報告中也
稱,這些活動大部分集中在研究美國政府機構,而北京支持的間諜機構也尋求對微軟相關
系統和翻譯工作的協助。
TIG 也發現,北韓間諜會利用 Gemini 為 IT 工作者撰寫求職申請,這是這個封閉的國家
持續將其勞工滲透進西方企業的努力之一。此外,九個不同的北韓駭客組織透過 Gemini
嘗試搜尋 Discord 上的自由工作者論壇,以及與南韓軍事和核技術相關的資訊。
值得注意的是,俄羅斯人似乎相對較少使用 Gemini,Google 團隊僅觀察到三個相關組織
。Google 推測,這可能是因為他們使用的是俄羅斯國內開發的 LLM,或者試圖降低曝光
風險,以避免被監控。當然也不排除他們擅長隱藏自己的 LLM 使用行為。
約 40% 的俄羅斯相關活動來自與俄羅斯政府支持的機構有關的行動者,這些機構過去由
已故俄羅斯寡頭 Yevgeny Prigozhin 控制。Google 表示,這很可能指的是瓦格納集團(
Wagner Group)及其相關分支。
Google 進一步指出,一名俄羅斯特工曾使用 Gemini 來生成和操縱內容,包括重新改寫
文章,使其帶有親克里姆林宮的立場,以用於影響力行動。這種做法與普里戈津的「網路
研究機構」(Internet Research Agency)過去所採取的策略如出一轍。
當涉及突破 Gemini 的安全防護並利用其引擎生成惡意程式碼或獲取個人資訊時,
Google 表示該 LLM 已成功阻擋此類嘗試。Google 注意到,越來越多使用者試圖利用已
知的「越獄提示(jailbreak prompts)」,並稍作修改來繞過內容過濾機制,但這些方
法似乎無效。
Google 也舉出一個案例,有使用者請求將編碼文本嵌入可執行文件,以及另一起試圖生
成用於拒絕服務攻擊(DoS attack)的 Python 代碼。Gemini 處理了Base64 轉換為十六
進制(hex)的請求,但拒絕執行進一步的惡意查詢。
此外,Google 還檢測到試圖利用 Gemini 研究如何濫用其其他服務的行為。該公司表示
,其安全系統成功攔截這些企圖,並且正持續強化防禦機制。同時,旗下 DeepMind 研究
部門也在開發保護 AI 服務免受攻擊及非法查詢的方法。
Google 在報告中補充,Google DeepMind 也針對生成式 AI 開發威脅模型,以識別潛在
漏洞,並創建新的評估與訓練技術,以應對濫用行為。
與這項研究同步進行的,DeepMind 也分享了他們如何在 AI 系統內部積極部署防禦機制
,並搭配測量與監控工具。其中之一是一個強大的評估框架,可用於自動進行「紅隊測試
」,評估 AI 系統對於間接提示注入攻擊(indirect prompt injection attacks)的脆
弱性。
--
