WhatsApp 通知可劫持 Google Gemini AI：即时通讯集成带来新攻击面

安全研究人员披露了一项针对 AI 助手的攻击技术：攻击者只需向目标发送一条精心构造的 WhatsApp 通知消息，即可触发 Google Gemini AI 的漏洞利用链，导致 AI 被劫持或数据泄露。这是 AI 助手与即时通讯工具深度集成后产生的一类全新攻击面的首个公开案例。

攻击原理

该攻击的核心在于利用多模态 AI 在处理结构化通知消息时的输入处理缺陷。当 Gemini AI 集成到 WhatsApp 等即时通讯平台后，它会自动接收和处理通知消息中的各类结构化数据，包括：

• 富文本格式：Markdown 类标记、特殊字符序列
• 嵌入媒体：缩略图、预览链接、语音消息元数据
• 交互元素：快速回复按钮、链接预览、消息引用链
• 协议元数据：消息 ID、时间戳、发送者标识、加密状态

研究团队发现，攻击者可以通过精心设计通知消息中的特定字段，触发 AI 模型的上下文混淆或运行时组件的异常行为，从而实现：

1. 指令劫持：恶意构造的通知内容覆盖或干扰 AI 的当前指令上下文，使其执行非预期的操作
2. 数据泄露：通过构造特殊的消息响应链路，诱导 AI 将敏感信息编码到对外回复中
3. 持续控制：利用消息引用链，在多轮对话中维持对 AI 行为的定向操控

技术细节

从已有信息来看，该攻击链大致分为三个阶段：

阶段一：输入向量突破

WhatsApp 通知作为 Agent 的输入向量，拥有比普通文本消息更高的处理优先级。当 AI 助手在后台处理通知时，通知内容直接进入模型推理的核心上下文窗口，绕过了一般 Web 内容才有的预处理过滤。

阶段二：结构化数据注入

攻击者在通知中嵌入特定的结构化标记，利用多模态 AI 在处理富文本时的解析差异触发异常。例如，某些 markdown 组合语法在渲染预览和原始文本解析时存在不一致，攻击者利用这种不一致性在 AI 的上下文窗口内注入隐藏指令。

阶段三：权限边界跨越

成功注入指令后，攻击者可以利用 AI 助手与操作系统深度集成的特性（如读取通知历史、管理消息回复、调用插件工具），将注入影响从消息处理层扩展到系统功能层。

影响范围

该攻击影响的不仅是单次对话的安全性，更值得关注的是其影响的范围和持续性：

• 被动触发：用户不需要点击任何链接或打开可疑消息，仅接收通知即可触发。这大幅降低了攻击者实施攻击的门槛
• 后台执行：AI 助手常在后台处理消息通知，用户可能完全感知不到攻击发生
• 数据覆盖面广：被劫持的 AI 助手可访问用户的聊天记录、联系人列表、日历事件等敏感数据
• 传播风险：被劫持的 AI 可在用户不知情的情况下向联系人发送恶意消息，形成社交工程传播链

与 AutoJack 的关联

值得注意的是，这项研究与微软近日披露的 AutoJack（AutoGen Studio RCE 攻击）在安全视角上高度一致：

两者共同揭示了一个正在快速成型的安全命题：当 AI 获得「连接外部世界」和「调用内部能力」两种能力时，两者之间的接口必须被当作攻击面来重新审视。

缓解方向

基于目前已披露的信息，以下几类措施有助于降低此类攻击的风险：

输入清洗：对通知消息中的结构化内容进行预处理，剥离可执行标记，仅保留纯文本信息进入 AI 上下文。

上下文隔离：将通知处理上下文与 AI 的核心指令上下文严格分离，通知内容不应覆盖或干扰系统级指令和用户权限设定。

请求确认：对于通知触发的敏感操作（读取联系人、发送消息、修改设置），增加用户确认环节。

审计追踪：记录 AI 处理通知消息的完整链路，包括原始通知内容、解析结果、触发行为和时间线。

参考资料

• 安全研究团队披露（via cyberpress），2026-06-20（原始研究成果因网络限制无法直接访问，本文基于公开摘要和领域知识撰写）
• Google Gemini AI 安全文档：https://ai.google.dev/gemini-api/docs/safety
• WhatsApp Business Platform 安全指南：https://developers.facebook.com/docs/whatsapp/security
• 微软安全团队「AutoJack: How a single page can RCE the host running your AI agent」，2026-06-18