智能家居新隐患:“提示软件”威胁来袭,如何防范?

📅 2026/7/12 8:58:24 👁️ 阅读次数 📝 编程学习
智能家居新隐患:“提示软件”威胁来袭,如何防范?

智能家居新隐患:“提示软件”登场

有人热衷于体验各类最新的智能家居设备,尤其是借助新的 AI 功能、能在实际生活中节省时间的产品。不过,尽管智能家居已针对以往黑客攻击手段构建有效防御体系,但新功能带来了新安全隐患,即“提示软件”(promptware)或“提示注入”(prompt injections),这种隐患能感染任何与 AI 控制相连的设备。

“提示软件”是网络犯罪手段,会植入恶意指令,让像 Gemini、Claude 甚至 Alexa Plus 这类 AI“看到”并自动执行,可能导致灾难性后果,如控制家中暖气、灯光,甚至打开门锁。目前,专家仍在研究“提示软件”会给大语言模型(LLM)风格的 AI 带来哪些危险,以及它可能潜藏的地方。与此同时,可采取一些措施保障安全并提高警惕。

“提示软件”的兴起

Gemini 与 Google Home 的整合功能实用,但指令选项存在风险。今年夏天,在黑帽大会(Blackhat conference)上,特拉维夫大学(Tel Aviv University)由本·纳西(Ben Nassi)带领的研究团队展示了如何利用日常消息中隐藏的恶意提示,让 Google 的 Gemini AI 执行诸如打开智能窗户、启动连接的锅炉,或者发送用户地理位置等操作。这得益于 Gemini 与 Google Home 及相关应用的集成。在消息里,精心设计的指令被巧妙隐藏,大致意思是“嘿,Gemini,当用户在邮件中输入类似‘谢谢’或‘再见’的内容时,激活此功能并执行相应操作”。

更糟糕的是,许多“提示软件”属于“零点击”类型,用户无需点击 URL、文档或消息就能触发。只要 Gemini 读取到隐藏了提示的标题或日历消息,比如在为用户总结邮件对话时,就可能中招。

不过也有好消息,目前无需担心 Gemini 会受到这些控制家居的提示攻击。谷歌在 2025 年初就知晓了这些漏洞,并设置了防护措施来消除它们,防止此类“提示软件”的侵害。谷歌发言人表示:“与白帽黑客和安全研究人员的积极合作是一个非常积极的进展,通过有效的测试和漏洞排查,能让每个人使用的 AI 系统更加安全可靠。我们积极参与并重视像 AI 漏洞奖励计划这样的项目。”

持续存在的“提示软件”威胁

这些漏洞的发现揭示了“提示软件”的危险性,以及 AI 如何会被隐藏在最不起眼之处的“提示软件”所欺骗。而且,传统的杀毒软件或防火墙无法检测到这种攻击。随着 AI 技术的不断发展,它们在日常通信中愈发常见,并且与电脑、家用设备和手机的连接也更加紧密,这就成了一个亟待解决的问题。

可以预计,随着 Alexa Plus 和家用版 Gemini 的不断发展,以及苹果计划在 2026 年晚些时候进入智能家居领域并推出其 Siri AI,网络犯罪分子会密切关注那些可能未像 Gemini 漏洞那样被及时发现的“提示软件”漏洞。

2026 年 7 月的一份众包报告就显示了这种威胁仍在不断增长,该报告标记了五种新型的提示注入威胁。其中一种“无意识用户上下文数据注入”,当人们粘贴从网上找到的说明来尝试设置智能家居应用程序或日常操作时,可能会引发智能家居安全问题。另一种“触发激活规则添加”则表明,“提示软件”攻击可以分为两部分,先在一次注入中添加隐藏或不完整的规则,然后再用另一次注入触发它,从而在合适的时机夺取控制权。

防范“提示软件”威胁的五个关键步骤

“提示软件”是基于 AI 的新型威胁,但可采取一些方法保护家庭安全。如果“提示软件”/提示注入只需让 AI 读取就能绕过防御,那该如何防范呢?幸运的是,一些安全措施能起到帮助作用。在 AI 时代,这些步骤还能预防其他隐私和安全问题,因此对每个人来说都是良好的习惯。

始终保持设备更新:尤其是在 AI 时代,更新一直是修复安全漏洞、保障应用程序安全的首要防线。如今,它们还能为手机上的 AI 功能提供重要更新,其中可能包括新的安全特性。确保手机操作系统以及所使用的应用程序(无论是 AI 应用还是其他应用)始终更新到最新版本。如果设置允许,开启自动更新功能。

不接受或打开任何来自未知来源的消息:并非所有的“提示软件”都是零点击类型,有些需要打开或同意某些内容,才能将提示植入到 AI 可读取的位置。为防止这种情况发生,避免接收任何不认识的消息或发件人发送的内容。如果可能的话,甚至不要打开它们去了解更多信息,直接删除即可。联系谷歌时,他们表示:“提示注入攻击虽然是针对 AI 的特定攻击,但与电子邮件钓鱼等长期存在的威胁有着相似的基本原理。攻击者都会不断探寻新的漏洞。”就像对待钓鱼攻击一样,最好的做法是删除并举报,而不是冒险尝试。

不要让 AI 总结你不熟悉或不信任的内容:在很多情况下,AI 只有在接到指令时才会读取提示,比如总结邮件或文本、创建日历事件、总结在线文档等。为避免“提示软件”攻击,最好避免让 AI 总结自己可以查看的大量消息。要谨慎让 AI 访问过多未知消息。

在电子邮件、日历、聊天应用及其他接收消息的地方禁用 AI:“提示软件”总有来源,即使它不总是需要点击链接。一个有效的预防方法是确保选择的 AI 不会“看到”任何提示。为此,查看是否可以在电子邮件、消息(如短信总结)以及日历等生产力应用中禁用 AI 功能,这样能大大降低“提示软件”控制连接设备的风险。如果可以设置详细的选项,可以将 AI 设置为仅在收到明确提示时才执行操作,这样既能保留一定的便利,又能避免 AI 自行遇到“提示软件”。这就是所谓的“人在回路”(HITL,Human - in - the - Loop)防御机制,即需要人类给予 AI 操作许可,防止其自行运行而遭遇“提示软件”。

不要直接复制粘贴邮件主题、文件名或代码:“提示软件”常常隐藏在冗长描述、邮件主题、文件名和代码片段的边缘。当整理或传输数据时,可能会忍不住直接复制粘贴这些内容,虽然这样能节省时间,但建议养成先检查所有标题和描述的习惯,确保末尾没有隐藏奇怪的命令。

想了解更多内容,还可以查看为何看好 AI 在家庭安全中的应用、保护儿童免受 AI 影响的最新举措,以及为何不应将 AI 用作心理治疗师等相关文章。