介於最近AI興盛，各位同仁也有可能會使用到。請在注意個人使用AI的資料安全及勿上傳重要加密資訊讓AI整理使用有洩漏的風險。

(資料來源：Hack Read)
  資安公司Tenable在Google的Gemini AI助理套件中，發現了三個關鍵性的安全缺陷，並將其命名為「Gemini 三連擊」（Gemini Trifecta）。這些漏洞約於10月初公開揭露，前述漏洞使 Gemini面臨提示注入（prompt injection）和資料外洩（data exfiltration）的風險，威脅到Gemini使用者的資料安全。
三項關鍵漏洞詳情
漏洞一：提示注入與Chrome瀏覽記錄

• 影響組件：Gemini搜尋個人化模型(Search Personalization Model)。

• 攻擊方式：攻擊者可藉由操縱使用者的Chrome瀏覽記錄。

• 潛在後果：實現提示注入(Prompt Injection)，使攻擊者能控制AI的輸出和行為。

漏洞二：惡意日誌與雲端資源攻擊

• 影響組件：Gemini雲端助理(Gemini Cloud Assist)。

• 攻擊方式：攻擊者將惡意提示嵌入日誌項目(Log Entry)中，例如利用網頁請求的HTTP User-Agent欄位。

• 潛在後果：啟動網路釣魚(Phishing)，並導致對雲端資源執行未經授權的操作。

漏洞三：繞過防禦與私人資料外洩

• 影響組件：Gemini瀏覽工具(Gemini Browsing Tool)。

• 攻擊方式：繞過Google的防禦機制。

• 潛在後果：實現資料外洩(Data Exfiltration)，將使用者的私人資料（例如地理位置）發送到外部的伺服器。

Google已經回溯（rolled back）了有漏洞的模型，停止了惡意超連結的渲染（rendering），並在整個套件中部署了多層次的提示注入防禦策略。