- Атака скрива невидими мултимодални подкани в изображения, които при мащабиране в Gemini се изпълняват без предупреждение.
- Векторът използва предварителна обработка на изображения (224x224/512x512) и задейства инструменти като Zapier за извличане на данни.
- Алгоритмите за най-близък съсед, билинейните и бикубичните алгоритми са уязвими; инструментът Anamorpher позволява тяхното инжектиране.
- Експертите съветват да се избягва намаляване на мащаба, предварителен преглед на въведените данни и изискване на потвърждение преди извършване на чувствителни действия.
Група изследователи е документирала метод за проникване, способен кражба на лични данни чрез вмъкване на скрити инструкции в изображенияКогато тези файлове се качват в мултимодални системи като Gemini, автоматичната предварителна обработка активира командите и изкуственият интелект ги следва, сякаш са валидни.
Откритието, съобщено от The Trail of Bits, засяга производствените среди. като например Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant или GensparkGoogle призна, че това е значително предизвикателство за индустрията, като досега няма доказателства за експлоатация в реални среди. Уязвимостта беше докладвана частно чрез програмата 0Din на Mozilla.
Как работи атаката за мащабиране на изображения
Ключът е в стъпката на предварителния анализ: многобройни AI канали Автоматично преоразмеряване на изображенията до стандартни резолюции (224×224 или 512×512)На практика моделът не вижда оригиналния файл, а по-скоро умалена версия, и именно там се разкрива злонамереното съдържание.
Нападателите вмъкват Мултимодални подкани, замаскирани от невидими водни знаци, често в тъмни области на снимката. Когато алгоритмите за мащабиране се изпълняват, тези модели се появяват и моделът ги интерпретира като легитимни инструкции, което може да доведе до нежелани действия.
В контролирани тестове, изследователите успяха Извличане на данни от Google Календар и изпращането им до външен имейл без потвърждение от потребителя. Освен това, тези техники се свързват със семейството на бързи инжекционни атаки вече демонстрирано в агентни инструменти (като Claude Code или OpenAI Codex), способни извличане на информация или задействане на автоматизирани действия експлоатиране на несигурни потоци.
Векторът на разпределение е широк: изображение на уебсайт, мем, споделен в WhatsApp или фишинг кампания могъл Активирайте подканата, когато искате от изкуствения интелект да обработи съдържаниетоВажно е да се подчертае, че атаката се материализира, когато AI каналът извърши мащабирането преди анализа; преглеждането на изображението без преминаване през тази стъпка не я задейства.
Следователно, рискът е концентриран в потоци, където изкуственият интелект има достъп до свързани инструменти (напр. изпращайте имейли, проверявайте календари или използвайте API): Ако няма предпазни мерки, те ще се изпълнят без намесата на потребителя.
Уязвимите алгоритми и инструменти са използвани
Атаката използва как определени алгоритми компресиране на информация с висока резолюция до по-малко пиксели при намаляване на размера: интерполация на най-близкия съсед, билинейна интерполация и бикубична интерполация. Всяка от тях изисква различна техника на вграждане, за да оцелее съобщението при преоразмеряване.
За вграждане на тези инструкции е използван инструмент с отворен код Анаморфер, предназначен да инжектира подкани в изображенията въз основа на алгоритъма за мащабиране на целта и да ги скрива в фини шарки. Предварителната обработка на изображенията от изкуствения интелект в крайна сметка ги разкрива.
След като подканата бъде разкрита, моделът може активирайте интеграции като Zapier (или услуги, подобни на IFTTT) и верижни действиясъбиране на данни, изпращане на имейли или връзки към услуги на трети страни, всичко в рамките на привидно нормален поток.
Накратко, това не е изолиран провал на доставчик, а по-скоро структурна слабост при обработката на мащабирани изображения в рамките на мултимодални тръбопроводи, които комбинират текст, визуализация и инструменти.
Мерки за смекчаване и добри практики
Изследователите препоръчват избягвайте намаляването на мащаба, когато е възможно и вместо това, размери на граничното натоварванеКогато е необходимо мащабиране, препоръчително е да се включи преглед на това, което моделът действително ще види, също в CLI инструменти и в API, и използвайте инструменти за откриване, като например Google SynthID.
На ниво проектиране, най-солидната защита е чрез модели на сигурност и систематични контроли срещу инжектиране на съобщения: никакво съдържание, вградено в изображение, не трябва да може да инициира Извиквания към чувствителни инструменти без изрично потвърждение на потребителя.
На оперативно ниво е разумно Избягвайте качването на изображения с неизвестен произход в Gemini и внимателно прегледайте разрешенията, предоставени на асистента или приложенията (достъп до имейл, календар, автоматизации и др.). Тези бариери значително намаляват потенциалното въздействие.
За техническите екипи си струва да се извърши одит на мултимодална предварителна обработка, да се втвърди пясъчната кутия на действията и запис/предупреждение за аномални модели активиране на инструмента след анализ на изображения. Това допълва защитата на ниво продукт.
Всичко сочи към факта, че сме изправени пред друг вариант на бързо инжектиране Прилага се за визуални канали. С превантивни мерки, проверка на входните данни и задължителни потвърждения, маржът на експлоатация се стеснява и рискът е ограничен за потребителите и бизнеса.
Изследването се фокусира върху сляпо петно в мултимодалните модели: Мащабирането на изображения може да се превърне във вектор на атака Ако не се отметне, разбирането как се обработва предварително входните данни, ограничаването на разрешенията и изискването на потвърждения преди критични действия могат да направят разликата между обикновена снимка и портал към вашите данни.
Аз съм технологичен ентусиаст, който е превърнал своите „гийк“ интереси в професия. Прекарах повече от 10 години от живота си, използвайки авангардни технологии и бърникайки с всякакви програми от чисто любопитство. Сега съм специализирал компютърни технологии и видео игри. Това е така, защото повече от 5 години пиша за различни уебсайтове за технологии и видео игри, създавайки статии, които се стремят да ви дадат информацията, от която се нуждаете, на език, разбираем за всички.
Ако имате някакви въпроси, познанията ми варират от всичко свързано с операционната система Windows, както и с Android за мобилни телефони. И моят ангажимент е към вас, винаги съм готов да отделя няколко минути и да ви помогна да разрешите всички въпроси, които може да имате в този интернет свят.