泄露 YouTube 创作者的私密视频
漏洞与攻击机制
- 攻击利用了 YouTube Studio 的 AI 评论摘要器:恶意评论嵌入指令,促使 LLM 预置一段看起来官方的通知,并输出由攻击者控制的链接。
- 该链接的查询参数会填入 LLM 可见的频道元数据(例如视频标题,可能来自私密/未列出的视频)。一旦点击,这些数据就会泄露到攻击者的服务器。
- 一些用户进行了测试但无法复现;也有人表示它似乎已被悄悄修复(例如不再生成链接,或 AI 会警告存在类似钓鱼的评论)。
关于严重性与分类的争论
- 一派认为这是真正的漏洞,因为:
- 不受信任的用户输入(评论)可以影响受信任的 UI 输出(Studio AI)。
- 链接看起来来自 YouTube,降低了用户警惕。
- LLM 的非确定性再加上 YouTube 的规模意味着即便成功率很低也很危险。
- 另一派认为影响有限:
- 需要创作者点击可疑链接;更像经典钓鱼。
- 只泄露标题或未列出 URL,不会泄露视频内容;私密视频仍受访问控制。
- 文中的示例 PoC 可能假设了其声称要外传的信息本身就已知。
提示注入、LLM 局限与缓解措施
- 许多人认为提示注入从根本上无法彻底修复:LLM 并不能真正区分“数据”和“指令”。
- 建议的缓解措施:
- 在 LLM 输入和输出中移除或中和链接/HTML/Markdown。
- 不要让摘要代理访问私密频道数据或工具。
- 使用单独的 LLM 实例或“模式”来隔离不受信任的内容。
- 增加提示/警告,说明 AI 回复可能包含用户生成内容。
- 也有人怀疑角色边界或监控 LLM 是否真的能可靠阻止攻击;他们认为这是一场军备竞赛。
Google/YouTube 的激励与漏洞赏金处理
- 一些前谷歌员工和现任谷歌员工描述了内部激励机制(晋升/GRAD)更偏向新功能,而不是修复微妙的漏洞。
- 也有人反驳称,VRP 严重性由专门的安全团队评定,而且 Google 整体安全文化不错,只是被大量低质量、往往由 AI 生成的报告淹没了。
- 几位评论者指出一种模式:报告先被标为“不是漏洞”,随后却悄悄修补,这削弱了研究人员的信任和漏洞赏金激励。
信任、社会工程与更广泛的风险
- 即使从技术上说“只是”社会工程,这个平台仍然:
- 借助 YouTube 的权威来“洗白”攻击者指令(“来自 YouTube 的重要通知”)。
- 创造新的钓鱼面(伪造账单、账户操作、误导性的投票信息等)。
- 评论者强调,普通创作者很难区分 AI 生成的警告和真实的平台消息,这使其成为一个严重的创作者信任与安全问题。