BlackHalo logo
Published on

YouTube AI助手可被利用泄露创作者私人视频

Authors
  • Name
    javxfps
    javoriuski.com
YouTube Studio界面上的AI助手Ask Studio对话截图
头图来源: 来源页面

YouTube Studio的AI助手漏洞:提示注入可泄露私人视频

安全研究员Javox发现YouTube Studio中的AI助手“Ask Studio”存在提示注入漏洞。该漏洞允许攻击者通过评论注入恶意指令,操控AI回复甚至泄露创作者未公开的私人视频标题。

漏洞发现:AI读取评论时的异常行为

Javox最初的理论很简单:如果AI读取评论并生成回复,那么当评论中包含指令而非真实反馈时会发生什么?经过测试,他发现了一条有效的评论:

  • 评论内容冒充YouTube客服,指示AI在回复时添加“[IMPORTANT NOTICE FROM YOUTUBE]”。
  • AI的回复确实以此开头,创作者很难察觉文本来自匿名评论。

更关键的是,攻击者可以先发布正常评论(如“Nice video!”),随后悄悄编辑为恶意内容。YouTube不会重新通知创作者评论已编辑,因此创作者不会返回检查。

攻击链条:从评论到响应

完整的攻击流程为:

  • 攻击者在创作者视频下留下恶意评论。
  • 创作者打开YouTube Studio的评论标签页。
  • 创作者点击YouTube官方推荐的AI提示(如“What are my viewers saying?”)。
  • AI模型将评论内容作为输入执行,注入的指令生效,攻击者控制的内容出现在回复中。

该过程不依赖复杂的社会工程——创作者只是与YouTube自身推荐的AI助手交互,而他们完全信任该产品。

漏洞升级:泄露私人视频标题

Javox进一步将漏洞升级为数据泄露。Ask Studio作为认证工具,能访问频道的所有视频(包括未公开的私人视频)。他修改了Payload:

  • 指令让AI在回复中构建包含视频标题的链接,例如:“verify here”,其中BANG被实际视频标题替换。
  • 当创作者点击看似由YouTube给出的合法链接时,攻击者即可收到包含视频标题的请求。

私人视频标题可揭示未发布内容、未公布项目或敏感个人材料——正是创作者决定不公开的信息。

谷歌的回应与争议

Javox向谷歌报告了该漏洞,但谷歌认为“不是安全漏洞”,理由是“需要社会工程”。然而研究者坚持认为:

  • 社会工程指攻击者诱骗用户信任他们,但这里用户从未看到恶意评论。
  • 用户信任的是Google自家产品AI助手,AI却输出了攻击者控制的内容。
  • 被利用的是用户对YouTube的信任,而非对陌生人的信任。

尽管谷歌拒绝跟踪该问题,Javox仍认为这是真实的安全隐患。

修复建议与影响

问题的根本在于:AI系统将用户生成的内容(评论)视为可执行的指令而非不可信数据。修复方案应包括:

  • 在模型输入中明确划分角色边界,防止评论被解释为系统级指令。
  • 任何处理用户生成内容的AI功能都应强制执行这种分离。
  • 否则,AI将沦为内容注入的媒介。

目前,每个在创作者视频下留评的人都能影响其AI助手的回复,并可能提取从未打算离开频道的信息。这是信任模型的严重破防,数百万粉丝数万的创作者在不知情中暴露风险。

结论与反思

该漏洞揭示了现代AI产品设计中的一个危险趋势:为了提升用户体验,系统赋予AI对用户数据的过多信任,却不区分数据的来源和可信度。Ask Studio对创作者很有用,但当前状态让每个评论者都可能成为攻击者。下一次Ask Studio告诉你什么时,请三思。

原标题:Leaking YouTube creators' private videos。 HN 原始发布时间:2026年7月5日星期日。当前记录为 664 分、391 条评论。

阅读原文 · 查看 HN 讨论