AI已成企业新防线:Gemini 3 Pro揭示了这一现实

本文探讨了Gemini 3 Pro如何通过深度集成到工作流中,将AI转变为企业的“新防线”。文章分析了间接提示注入、多模态攻击、AI代理操作风险等新型威胁,并指出大多数企业尚未做好相应的安全准备。

AI Has Become the New Enterprise Perimeter — and Gemini 3 Pro Just Proved It

By Mateo Rojas-Carulla | Head of Research, AI Agent Security

当谷歌在2025年11月18日发布Gemini 3时,大多数头条新闻都聚焦于其在推理、多模态和性能上的飞跃。但高管们应该超越模型间的比较。Gemini 3的真正意义在于其结构性影响。

一个更广泛趋势的一部分——由Gemini 3加速

AI助手已经开始进入企业工作流程内部。例如,Microsoft Copilot已有一段时间将OpenAI模型深度嵌入微软生态系统,使用户能够查询 office.com 上的文档、总结收件箱、对Teams内容进行操作,并在整个Office 365中自动化任务。

Gemini 3在谷歌环境中延续并加速了这一趋势。它原生附带广泛的Workspace集成和早期的代理能力,推动谷歌走向一个更统一的企业AI网格,其中AI协调着跨电子邮件、文档、存储、协作工具和自动化的交互。

这种演变意味着:

  • AI不再是企业使用的东西。
  • AI正成为企业运行所依赖的东西。

而这从根本上改变了安全范式。

AI已进入运营核心

使Gemini 3具有变革性的不是其头条功能,而是其以前所未有的上下文和代理能力在生产力生态系统内部操作的能力。

该模型现在可以:

  • 重写和路由文档。
  • 总结长邮件线程并据此采取行动。
  • 调用API。
  • 触发工作流自动化。

这些能力映射了——在某些情况下甚至扩展了——Copilot已经提供的功能。但Gemini 3将这些集成原生地内置在Google Workspace中,赋予了模型传统LLM部署所不具备的操作范围。

随着AI成为执行层的一部分,攻击面扩大了——而且这种扩展的很大一部分对现有的安全控制措施是不可见的。

间接提示注入:增长最快的企业威胁

Check Point旗下的Lakera公司已经表明,间接提示注入允许攻击者针对AI摄取的数据——而非用户输入的提示。Gemini 3通过从整个企业范围拉取信息,成倍增加了这种风险:

  • 文档
  • 电子邮件
  • 链接
  • PDF
  • 共享内容

一个被投毒的网页、签名块或嵌入的PDF元素,都可能悄无声息地重定向模型行为。传统安全工具无法检测到这类新型操纵。

多模态性扩大了攻击面

Gemini 3的多模态能力带来了巨大的生产力提升——以及新形式的风险。

Lakera已演示了实用的多模态攻击,包括基于音频的越狱,即虽然模型被操纵,但文字记录看起来是干净的。有了Gemini 3,高管们现在必须考虑到:

  • 对抗性音频
  • 恶意图像
  • 嵌入或操纵的媒体
  • 欺骗性截图

每一种都引入了当今电子邮件、终端或内容安全控制无法覆盖的攻击向量。

代理型AI将操作风险推向前台

Gemini 3还引入了早期的代理行为——即采取行动的能力,而不仅仅是提供答案。其工具调用、自动化和API级操作赋予了AI在企业系统内的实际权限。

Microsoft Copilot已经通过Skills和连接器执行类似任务,但Gemini 3的方法更紧密地与原生的Workspace界面绑定。Lakera对模型上下文协议(MCP)的分析表明,当出现以下情况时,此类代理系统会迅速变得危险:

  • 权限过于宽泛。
  • 范围不清晰。
  • 操作未被监控。
  • 输出未被验证。

一个配置错误的代理可以提升权限、触发意外操作或与关键系统产生不可预测的交互。这不再是假设。这是操作风险。

大多数企业尚未做好准备

Lakera的《生成式AI安全就绪报告》显示,组织采用AI的速度远远快于保护AI的速度。大多数企业仍然缺乏:

  • AI治理
  • 防护措施
  • 代理监控
  • 多模态保护
  • 对抗性测试流程

Gemini 3扩大了这一差距。该模型的能力加速了价值创造——但也加速了风险暴露。

Gemini 3 Pro:坚实基础,而非安全策略

Lakera的 b³ 安全评估的早期内部结果(该评估衡量模型被操纵以泄露内容或绕过保护措施的难易程度)为高管们提供了一个重要的细微差别。预览模型 gemini-3-pro-preview 在我们测试过的系统中名列前茅——略微领先于Anthropic的Claude 4.5 Haiku——尤其是在直接内容提取和指令覆盖场景中。

我们看到,当明确指示Gemini优先考虑安全性,以及响应通过额外的“自我评判”层进行路由时,收益最大。这种强化配置在最具有挑战性的任务上提供了明显更强的保护。

但这需要权衡:那种额外的鲁棒性需要显著更多的内部推理,使得Gemini 3 Pro的计算成本要高得多,而像Claude 4.5 Haiku这样的模型能以更低的成本提供强大的安全性。

这强化了一个关键教训:模型本身并不是安全策略。配置、提示和分层的防护措施与基础模型本身同样重要。

新的高管要务

Gemini 3的真正转变不在于模型知道什么——而在于模型能访问什么。AI现在触及整个企业环境中的文档、收件箱、API、工作流和系统。高管的提问不再是:“模型有多智能?” 而是:“允许模型做什么——以及当它执行时,由谁来确保其行为安全?”

这就是新的企业防线。保护它现在是董事会级别的责任——并将定义未来十年的网络安全战略。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次