近年来,AI 助手逐渐被深度整合进移动操作系统,它们不仅能回答问题,还开始拥有拨号、发消息、调用应用、读取上下文等能力。
但当 AI 功能与系统权限绑定得越来越深时,一个新的问题也开始浮现:
AI 是否正在无意间扩大系统攻击面?
近期,安全研究人员再次披露了一项与 Google Gemini 有关的 Android 锁屏绕过问题。更值得关注的是,这并不是第一次出现类似情况。
早在 2024 年,研究人员就曾向 Google 提交过一项 Gemini 相关的锁屏绕过漏洞,并获得了官方奖励。
原以为该问题已经被修复,但在 2026 年 4 月,研究人员在一台已经安装 2026 年 3 月安全补丁的 Pixel 6a 上,再次复现了类似攻击。
这意味着:
虽然原有入口被封堵,但系统层面的核心安全边界并没有真正被解决。
攻击者只需要短时间接触一台已锁定的 Android 手机,即可在无需 PIN、图案或生物识别验证的情况下:
整个过程里:
从实际风险来看,这已经不只是“查看信息”级别的问题,而是一次对系统安全边界的直接突破。
整个攻击链的核心,在于 Gemini 的“锁屏浮窗”与“完整应用上下文”之间存在权限衔接缺陷。
攻击流程大致如下:
长按电源键即可在锁屏界面启动 Gemini 浮动窗口。
这一行为本身属于系统允许的设计,因此无需身份验证。
在 Gemini 浮窗中,通过特定操作进入“深度研究”等高级功能。
问题就在这里:
系统会从受限的锁屏浮窗,跳转进入完整 Gemini 应用环境。
而在这一过程中,设备是否已经真正解锁,并没有被再次校验。
理论上,系统应该弹出重新认证窗口。
但研究人员发现,通过特定时机的界面交互,可以让认证对话框无法正常获得焦点。
结果就是:
验证机制被“卡住”,而应用上下文已经成功获得访问权限。
本质上,这属于一种典型的:
“UI 层验证被交互绕过”的问题。
从技术角度来看,这次问题并非单点漏洞,而是多个设计缺陷叠加后的结果。
Gemini 从锁屏浮窗切换到完整应用时,系统没有重新验证设备解锁状态。
也就是说:
“锁屏上下文”在切换过程中被丢失了。
重新认证只是一个普通 UI 对话框,而不是系统层面的强制权限校验。
这意味着:
只要对界面交互进行抢占,就有机会阻止验证真正完成。
此前 Google 的补丁,更像是在修复某条具体跳转链路。
但问题真正的核心其实是:
任何能够从锁屏进入完整 Gemini 上下文的功能,都可能成为新的突破口。
换句话说:
真正需要修复的是“权限边界”,而不是某一个按钮。
一旦突破成功,攻击面会迅速扩大。
攻击者可以查看设备当前登录的 Google 账户信息。
例如开启:
后续即使手机重新锁定,也会持续扩大可操作范围。
Gemini 历史记录中可能包含:
这些内容可以被快速分享或导出。
读取后还可以删除聊天记录,进一步降低被发现概率。
整个过程耗时甚至不到一分钟。
过去,锁屏更多保护的是:
“本地文件”和“应用访问”。
但 AI 助手出现后,情况已经发生变化。
因为 AI 不再只是一个应用,它更像:
一旦 AI 助手能跨越锁屏边界,它带来的影响会远大于传统 App。
这也是为什么:
AI 正在逐渐成为新的系统攻击面。
研究人员认为,真正有效的修复至少需要三个方向:
任何从锁屏环境进入完整应用上下文的行为,都必须由系统层统一验证。
而不是依赖普通 UI 对话框。
包括:
都不应在锁屏状态下被访问。
所有子 Activity、Fragment 都必须继承“设备锁定”状态。
不能因为页面跳转就丢失安全上下文。
用户一直默认认为:
“锁屏 = 安全”。
但 AI 助手正在不断打破传统应用边界。
当系统允许 AI 在锁屏状态下调用越来越多能力时,攻击面也会随之扩大。
而如果系统无法建立一道真正不可绕过的权限门禁,那么所谓的“锁屏保护”,最终可能只剩下一层表面的提示而已。
网站资讯
渠道合作
解决方案
更多服务
