一位安全研究人员在 YouTube 的“Ask Studio”AI 助手功能中发现了一个“提示词注入”漏洞。攻击者只需留下包含隐藏指令的评论,就能强迫 AI 在其官方摘要中显示恶意信息或欺骗性链接。
该漏洞之所以危险,是因为创作者无需直接与攻击者互动。他们只需与 YouTube 自身的界面交互,就会触发 AI 自动处理这些恶意评论。由于 AI 将注入的内容作为其权威输出呈现,创作者往往会对其盲目信任。研究人员演示了攻击者如何通过诱导创作者点击 AI 生成的恶意链接,从而窃取私密视频的标题。
尽管研究人员报告了该缺陷,但 Google 拒绝将其归类为安全漏洞,声称这需要“社会工程学”手段。研究人员对此表示异议,指出该漏洞利用的是用户对 Google 产品本身的信任,而非攻击者。他们敦促 Google 将用户生成的内容视为不可信数据,并在 AI 内部强制执行严格的边界,以防止未来再次被利用。在此之前,建议创作者在与 AI 生成的摘要交互时保持谨慎。
**Curveball** 是一款基于 Rust 开发的工具,专为开源游戏《Neverball》生成复杂的 3D 形状而设计。虽然《Neverball》内置了原生的曲线生成器(`curve.c`),但其功能仅限于圆形弧线。Curveball 通过一种独特的“挤出(extrusion)”抽象概念,让用户能够创建复杂的几何体,从而扩展了这一功能。
在《Neverball》中,3D 对象(画笔)必须是凸多面体,并由半空间的交集定义。手动生成这些对象容易出错,因此 Curveball 使用凸包算法(`chull`)实现了自动化流程。该工具的核心在于定义 2D 轮廓并沿路径进行挤出。通过利用 Frenet 标架来处理旋转和方向,Curveball 可以根据用户定义的简单轮廓和路径,生成种类繁多的形状。
除了标准的挤出功能外,该工具还支持“Curve Classic”、“Curve Slope”和“Rayto”等专用几何类型,以满足各种地图制作需求。Curveball 提供网页版和桌面下载版,为《Neverball》关卡设计师提供了一种强大且灵活的解决方案,助力构建更复杂、更具创意的游戏环境。