一則留言騙走你的私人影片清單:YouTube Studio AI 助理被示範注入攻擊,Google 說「不算漏洞」
攻擊手法出奇地簡單:Ask Studio 會替創作者摘要影片留言,研究者於是留了一則假冒「YouTube 支援人員」的留言,指示 AI 在回覆開頭加上「來自 YouTube 的重要通知」——AI 果然照辦,攻擊者的文字就這樣頂著官方助理的外衣出現在創作者眼前。更陰的是留言可以先寫「影片不錯!」通過眼球審查,之後再偷偷編輯成攻擊載荷,YouTube 不會就編輯後的留言重新通知創作者。
整條攻擊鏈不需要創作者做任何奇怪的事:攻擊者留言、創作者打開 Studio 留言分頁、點一下 YouTube 自己設計的建議提示,注入就發動了。研究者向 Google 回報,得到的答覆是「不構成安全漏洞,因為需要社交工程」。他不服氣地反駁:創作者從頭到尾信任的是 Google 自家產品,看都沒看過那則留言,被利用的信任跟傳統社交工程完全兩回事。
於是他把概念驗證升級:Ask Studio 身為創作者授權工具,看得到頻道的私人影片。他修改載荷,讓 AI 生成一條「驗證連結」,把頻道內某支影片的標題偷偷組進網址參數。創作者點下那條看似官方的連結,攻擊者的伺服器就收到了私人影片標題——可能是未發布的內容、未公開的企劃。Google 的第二次回覆依然是:不算漏洞。
研究者給的解方是老生常談但業界一直沒做好的那件事:把用戶生成內容當資料而非指令,用明確的角色邊界隔離。只要 AI 功能會讀取並根據 UGC 行動,缺了這道隔離,AI 就是每一則留言的傳聲筒。
歸剛點評|提示注入從學術題變成「留言區就能打」的實戰題,而平台方的認定標準明顯跟不上。歸剛提醒有經營 YouTube 的朋友:Ask Studio 的摘要與連結先當成「陌生人轉述」看待,點連結前看清楚網域——你的 AI 助理現在還沒有能力分辨誰在跟它說話。