피드로 돌아가기
Notification Hijacking: How WhatsApp and Slack Content Could Weaponize Google Gemini
Dev.toDev.to
Security

Notification-based Prompt Injection 방어와 Context Ingestion 경계 보안 설계

Notification Hijacking: How WhatsApp and Slack Content Could Weaponize Google Gemini

Cor E2026년 6월 4일6advanced

Context

Google Gemini가 Android 알림 내용을 데이터가 아닌 시스템 명령어로 오인하는 Trust Boundary 붕괴 문제 발생. 외부 앱(WhatsApp, Slack 등)의 콘텐츠를 검증 없이 Context Window에 통합함에 따른 권한 없는 액션 수행 및 Memory Poisoning 취약점 노출.

Technical Solution

  • Context Ingestion Boundary에 Sentinel AI Firewall 계층을 배치하여 외부 입력값의 무결성 검증
  • Fast-Path Regex를 통한 'ignore previous instructions' 등 고신뢰 공격 패턴의 Zero-latency 차단
  • Vector Similarity 분석을 통한 시맨틱 공격 탐지 및 Cosine Similarity 0.40 이상 플래그, 0.55 이상 Neutralization 처리
  • Unicode Tag 및 Homoglyph 등 우회 공격 방지를 위한 데이터 Normalization 전처리 수행
  • 모델 경계가 아닌 데이터 유입 지점(Ingestion Boundary)에서 스크러빙을 수행하는 Transparent Proxy 구조 채택

- LLM Context에 통합되는 모든 외부 문자열(Email, Notification, Tool Result)을 Adversarial Input으로 간주 - Prompt 조립 전 단계에서 외부 데이터와 시스템 프롬프트를 엄격히 분리하는 Validation 레이어 설계 - 단순 키워드 매칭을 넘어 벡터 유사도 기반의 Semantic 필터링 도입 검토 - 입력 데이터의 정규화(Normalization) 과정을 통해 인코딩 우회 공격 가능성 제거

원문 읽기