- Un attaccu piatta prompt multimodali invisibili in l'imagine chì, quandu sò scalate nantu à Gemini, sò eseguite senza preavvisu.
- U vettore sfrutta u preelaborazione di l'imagine (224x224/512x512) è attiva strumenti cum'è Zapier per esfiltrare i dati.
- L'algoritmi di u vicinu più vicinu, bilineari è bicubi sò vulnerabili; u strumentu Anamorpher permette di iniettà li.
- L'esperti cunsiglianu d'evità di riduce a scala, di vede l'anteprima di l'input è di dumandà cunferma prima di fà azzioni sensibili.
Un gruppu di circadori hà documentatu un metudu d'intrusione capace di arrubà dati persunali iniettendu struzzioni nascoste in l'imagineQuandu questi fugliali sò caricati in sistemi multimodali cum'è Gemini, u preprocessamentu automaticu attiva i cumandamenti, è l'IA li seguita cum'è s'elli fussinu validi.
A scuperta, ripurtata da The Trail of Bits, affetta l'ambienti di pruduzzione. cum'è Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant o GensparkGoogle hà ricunnisciutu chì questu hè una sfida significativa per l'industria, senza alcuna prova di sfruttamentu in ambienti di u mondu reale finu à avà. A vulnerabilità hè stata signalata privatamente per mezu di u prugramma 0Din di Mozilla.
Cumu funziona l'attaccu di scalatura di l'imagine
A chjave hè in a tappa di pre-analisi: parechje pipeline di IA Ridimensiona automaticamente l'imagine à risoluzioni standard (224 × 224 o 512 × 512)In pratica, u mudellu ùn vede micca u schedariu uriginale, ma piuttostu una versione ridotta, è hè quì chì u cuntenutu maliziosu hè rivelatu.
L'attaccanti inseriscenu Prompts multimodali camuffati da filigrane invisibili, spessu in zone scure di a foto. Quandu l'algoritmi di upscaling funzionanu, sti mudelli emergenu è u mudellu l'interpreta cum'è struzzioni legittime, chì ponu purtà à azzioni indesiderate.
In testi cuntrullati, i circadori sò riesciuti à Estrae dati da Google Calendar è mandali à un email esternu senza cunferma di l'utente. Inoltre, ste tecniche si liganu à a famiglia di attacchi d'iniezione rapida digià dimustratu in strumenti agentichi (cum'è Claude Code o OpenAI Codex), capace di esfiltra l'infurmazioni o scatena azzioni di automatizazione sfruttendu flussi insicuri.
U vettore di distribuzione hè largu: una maghjina nant'à un situ web, un meme spartutu nant'à WhatsApp o un campagna di phishing puderia Attivate u prompt quandu dumandate à l'IA di processà u cuntenutuHè impurtante di mette in risaltu chì l'attaccu si materializza quandu a pipeline di l'IA esegue u scaling prima di l'analisi; vede l'imagine senza passà per quellu passu ùn a attiva micca.
Dunque, u risicu hè cuncintratu in i flussi induve l'IA hà accessu à strumenti cunnessi (per esempiu, mandà email, verificà calendarii o aduprà API): S'ellu ùn ci sò micca misure di prutezzione, l'eseguirà senza l'intervenzione di l'utente.
Algoritmi è strumenti vulnerabili implicati
L'attaccu sfrutta cumu certi algoritmi cumpressà l'infurmazioni d'alta risoluzione in menu pixel quandu si riduce a dimensione: interpolazione di u vicinu più vicinu, interpolazione bilineare è interpolazione bicubica. Ognuna richiede una tecnica d'integrazione diversa per chì u messagiu sopravviva à u ridimensionamentu.
Per integrà queste istruzioni, hè statu utilizatu u strumentu open source. Anamorfo, cuncipitu per injectà prompt in l'imagine basatu annantu à l'algoritmu di scalatura di u target è piattalli in mudelli suttili. U preelaborazione di l'imagine di l'IA li rivela infine.
Una volta chì l'invitu hè rivelatu, u mudellu pò attivà integrazioni cum'è Zapier (o servizii simili à IFTTT) è azzioni in catena: raccolta di dati, inviu di email o cunnessione à servizii di terze parti, tuttu in un flussu apparentemente nurmale.
In breve, questu ùn hè micca un fiascu isulatu di un fornitore, ma piuttostu un debulezza strutturale in a gestione di l'imagine scalate in pipelines multimodali chì combinanu testu, visione è strumenti.
Misure di mitigazione è bone pratiche
I circadori ricumandenu evite di riduce a scala quandu hè pussibule è invece, dimensioni limite di caricaQuandu a scalatura hè necessaria, hè cunsigliatu d'incorporà un anteprima di ciò chì u mudellu viderà veramente, ancu in strumenti CLI è in l'API, è aduprà strumenti di rilevazione cum'è Google SynthID.
À u livellu di cuncepimentu, a difesa più solida hè attraversu mudelli di sicurezza è cuntrolli sistematichi contru à l'iniezione di missaghji: nisun cuntenutu integratu in una maghjina ùn deve esse capace di inizià Chjame à strumenti sensibili senza cunferma esplicita utilizatore.
À u livellu operativu, hè prudente Evitate di caricà imagine d'origine scunnisciuta in Gemini è rivede attentamente i permessi cuncessi à l'assistente o à l'applicazioni (accessu à l'email, u calendariu, l'automatizazioni, ecc.). Queste barriere riducenu significativamente l'impattu potenziale.
Per e squadre tecniche, vale a pena verificà u pretrattamentu multimodale, rinfurzà a sandbox d'azione, è registrà/alerta nantu à i mudelli anomali attivazione di u strumentu dopu l'analisi di l'imagine. Questu cumplementa a difesa à livellu di pruduttu.
Tuttu indica u fattu chì simu di fronte un'altra variante di iniezione rapida Applicatu à i canali visuali. Cù misure preventive, verificazione di l'input è cunferme obbligatorie, u margine di sfruttamentu hè riduttu è u risicu hè limitatu per l'utilizatori è l'imprese.
A ricerca si cuncentra nantu à un puntu cecu in i mudelli multimodali: A scalatura di l'imagine pò diventà un vettore d'attaccu S'ellu ùn hè micca verificatu, capisce cumu l'input hè preprocessatu, limità i permessi è richiede cunferme prima di l'azzioni critiche pò fà a differenza trà una semplice istantanea è a porta d'accessu à i vostri dati.
Sò un entusiasta di a tecnulugia chì hà trasfurmatu i so interessi "geek" in una professione. Aghju passatu più di 10 anni di a mo vita cù a tecnulugia d'avanguardia è scacciendu ogni tipu di prugrammi per pura curiosità. Avà sò specializatu in tecnulugia di computer è video games. Questu hè chì dapoi più di 5 anni aghju scrittu per diversi siti web nantu à a tecnulugia è i video games, creendu articuli chì cercanu di dà l'infurmazioni chì avete bisognu in una lingua chì hè comprensibile à tutti.
Sì avete qualchì quistione, a mo cunniscenza varieghja da tuttu ciò chì riguarda u sistema operatore Windows è ancu Android per i telefunini. È u mo impegnu hè di voi, sò sempre dispostu à passà uni pochi di minuti è aiutavvi à risolve tutte e dumande chì pudete avè in questu mondu Internet.