泄露 YouTube 创作者的私密视频

漏洞与攻击机制

  • 攻击利用了 YouTube Studio 的 AI 评论摘要器:恶意评论嵌入指令,促使 LLM 预置一段看起来官方的通知,并输出由攻击者控制的链接。
  • 该链接的查询参数会填入 LLM 可见的频道元数据(例如视频标题,可能来自私密/未列出的视频)。一旦点击,这些数据就会泄露到攻击者的服务器。
  • 一些用户进行了测试但无法复现;也有人表示它似乎已被悄悄修复(例如不再生成链接,或 AI 会警告存在类似钓鱼的评论)。

关于严重性与分类的争论

  • 一派认为这是真正的漏洞,因为:
    • 不受信任的用户输入(评论)可以影响受信任的 UI 输出(Studio AI)。
    • 链接看起来来自 YouTube,降低了用户警惕。
    • LLM 的非确定性再加上 YouTube 的规模意味着即便成功率很低也很危险。
  • 另一派认为影响有限:
    • 需要创作者点击可疑链接;更像经典钓鱼。
    • 只泄露标题或未列出 URL,不会泄露视频内容;私密视频仍受访问控制。
    • 文中的示例 PoC 可能假设了其声称要外传的信息本身就已知。

提示注入、LLM 局限与缓解措施

  • 许多人认为提示注入从根本上无法彻底修复:LLM 并不能真正区分“数据”和“指令”。
  • 建议的缓解措施:
    • 在 LLM 输入和输出中移除或中和链接/HTML/Markdown。
    • 不要让摘要代理访问私密频道数据或工具。
    • 使用单独的 LLM 实例或“模式”来隔离不受信任的内容。
    • 增加提示/警告,说明 AI 回复可能包含用户生成内容。
  • 也有人怀疑角色边界或监控 LLM 是否真的能可靠阻止攻击;他们认为这是一场军备竞赛。

Google/YouTube 的激励与漏洞赏金处理

  • 一些前谷歌员工和现任谷歌员工描述了内部激励机制(晋升/GRAD)更偏向新功能,而不是修复微妙的漏洞。
  • 也有人反驳称,VRP 严重性由专门的安全团队评定,而且 Google 整体安全文化不错,只是被大量低质量、往往由 AI 生成的报告淹没了。
  • 几位评论者指出一种模式:报告先被标为“不是漏洞”,随后却悄悄修补,这削弱了研究人员的信任和漏洞赏金激励。

信任、社会工程与更广泛的风险

  • 即使从技术上说“只是”社会工程,这个平台仍然:
    • 借助 YouTube 的权威来“洗白”攻击者指令(“来自 YouTube 的重要通知”)。
    • 创造新的钓鱼面(伪造账单、账户操作、误导性的投票信息等)。
  • 评论者强调,普通创作者很难区分 AI 生成的警告和真实的平台消息,这使其成为一个严重的创作者信任与安全问题。