- Published on
YouTube AI助手可被利用泄露创作者私人视频
- Authors
- Name
- javxfps
- javoriuski.com

YouTube Studio的AI助手漏洞:提示注入可泄露私人视频
安全研究员Javox发现YouTube Studio中的AI助手“Ask Studio”存在提示注入漏洞。该漏洞允许攻击者通过评论注入恶意指令,操控AI回复甚至泄露创作者未公开的私人视频标题。
漏洞发现:AI读取评论时的异常行为
Javox最初的理论很简单:如果AI读取评论并生成回复,那么当评论中包含指令而非真实反馈时会发生什么?经过测试,他发现了一条有效的评论:
- 评论内容冒充YouTube客服,指示AI在回复时添加“[IMPORTANT NOTICE FROM YOUTUBE]”。
- AI的回复确实以此开头,创作者很难察觉文本来自匿名评论。
更关键的是,攻击者可以先发布正常评论(如“Nice video!”),随后悄悄编辑为恶意内容。YouTube不会重新通知创作者评论已编辑,因此创作者不会返回检查。
攻击链条:从评论到响应
完整的攻击流程为:
- 攻击者在创作者视频下留下恶意评论。
- 创作者打开YouTube Studio的评论标签页。
- 创作者点击YouTube官方推荐的AI提示(如“What are my viewers saying?”)。
- AI模型将评论内容作为输入执行,注入的指令生效,攻击者控制的内容出现在回复中。
该过程不依赖复杂的社会工程——创作者只是与YouTube自身推荐的AI助手交互,而他们完全信任该产品。
漏洞升级:泄露私人视频标题
Javox进一步将漏洞升级为数据泄露。Ask Studio作为认证工具,能访问频道的所有视频(包括未公开的私人视频)。他修改了Payload:
- 指令让AI在回复中构建包含视频标题的链接,例如:“verify here”,其中BANG被实际视频标题替换。
- 当创作者点击看似由YouTube给出的合法链接时,攻击者即可收到包含视频标题的请求。
私人视频标题可揭示未发布内容、未公布项目或敏感个人材料——正是创作者决定不公开的信息。
谷歌的回应与争议
Javox向谷歌报告了该漏洞,但谷歌认为“不是安全漏洞”,理由是“需要社会工程”。然而研究者坚持认为:
- 社会工程指攻击者诱骗用户信任他们,但这里用户从未看到恶意评论。
- 用户信任的是Google自家产品AI助手,AI却输出了攻击者控制的内容。
- 被利用的是用户对YouTube的信任,而非对陌生人的信任。
尽管谷歌拒绝跟踪该问题,Javox仍认为这是真实的安全隐患。
修复建议与影响
问题的根本在于:AI系统将用户生成的内容(评论)视为可执行的指令而非不可信数据。修复方案应包括:
- 在模型输入中明确划分角色边界,防止评论被解释为系统级指令。
- 任何处理用户生成内容的AI功能都应强制执行这种分离。
- 否则,AI将沦为内容注入的媒介。
目前,每个在创作者视频下留评的人都能影响其AI助手的回复,并可能提取从未打算离开频道的信息。这是信任模型的严重破防,数百万粉丝数万的创作者在不知情中暴露风险。
结论与反思
该漏洞揭示了现代AI产品设计中的一个危险趋势:为了提升用户体验,系统赋予AI对用户数据的过多信任,却不区分数据的来源和可信度。Ask Studio对创作者很有用,但当前状态让每个评论者都可能成为攻击者。下一次Ask Studio告诉你什么时,请三思。
原标题:Leaking YouTube creators' private videos。 HN 原始发布时间:2026年7月5日星期日。当前记录为 664 分、391 条评论。