- Atako kaŝas nevideblajn multimodalajn promptojn en bildoj kiuj, kiam skalitaj sur Gemini, efektiviĝas sen averto.
- La vektoro utiligas bildantaŭprilaboradon (224x224/512x512) kaj ekigas ilojn kiel Zapier por elfiltri datumojn.
- La algoritmoj de plej proksima najbaro, bilinearaj kaj bikubaj estas vundeblaj; la ilo Anamorpher permesas ilian injekton.
- Fakuloj konsilas eviti malpligrandigon, antaŭrigardon de enigaĵoj, kaj postulon de konfirmo antaŭ ol plenumi sentemajn agojn.
Grupo de esploristoj dokumentis entrudmetodon kapablan je ŝtelante personajn datumojn per injektado de kaŝitaj instrukcioj en bildojnKiam tiuj dosieroj estas alŝutitaj al multimodalaj sistemoj kiel Gemini, aŭtomata antaŭprilaborado aktivigas la komandojn, kaj la AI sekvas ilin kvazaŭ ili estus validaj.
La malkovro, raportita de The Trail of Bits, influas produktadajn mediojn. kiel ekzemple Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant aŭ GensparkGoogle agnoskis, ke ĉi tio estas grava defio por la industrio, sen pruvoj de ekspluatado en realmondaj medioj ĝis nun. La vundebleco estis private raportita per la programo 0Din de Mozilla.
Kiel funkcias la atako pri bildskaligo
La ŝlosilo estas en la antaŭanaliza paŝo: multaj AI-duktoj Aŭtomate ŝanĝi la grandecon de bildoj al normaj rezolucioj (224×224 aŭ 512×512)En praktiko, la modelo ne vidas la originalan dosieron, sed prefere malpligrandigitan version, kaj tie malkaŝiĝas la malica enhavo.
Atakantoj enmetas Multmodalaj promptoj kamuflitaj per nevideblaj akvomarkoj, ofte en malhelaj areoj de la foto. Kiam la pligrandigaj algoritmoj funkcias, ĉi tiuj ŝablonoj aperas kaj la modelo interpretas ilin kiel legitimajn instrukciojn, kio povas konduki al nedezirataj agoj.
En kontrolitaj testoj, esploristoj sukcesis Eltiru datumojn el Google Calendar kaj sendu ilin al ekstera retpoŝtadreso sen uzanta konfirmo. Krome, ĉi tiuj teknikoj ligas al la familio de rapidaj injektaj atakoj jam montrita en agentaj iloj (kiel Claude Code aŭ OpenAI Codex), kapabla je elfiltri informojn aŭ ekigi aŭtomatajn agojn ekspluatante nesekurajn fluojn.
La distribua vektoro estas larĝa: bildo en retejo, memeo kundividita per WhatsApp aŭ fiŝkapta kampanjo povus Aktivigu la prompton kiam vi petas la artefaritan inteligentecon prilabori la enhavonGravas emfazi, ke la atako realiĝas kiam la AI-dukto plenumas la skaladon antaŭ la analizo; rigardi la bildon sen trairi tiun paŝon ne ekigas ĝin.
Tial, la risko koncentriĝas en fluoj kie AI havas aliron al konektitaj iloj (ekz., sendi retpoŝtojn, kontroli kalendarojn aŭ uzi API-ojn): Se ne estas protektoj, ĝi efektivigos ilin sen uzanta interveno.
Vundeblaj algoritmoj kaj iloj implikitaj
La atako ekspluatas kiel certaj algoritmoj kunpremi alt-rezoluciajn informojn en pli malmultajn pikselojn dum malgrandigo: plej proksima najbara interpolado, dulineara interpolado, kaj dukuba interpolado. Ĉiu postulas malsaman enkorpigan teknikon por ke la mesaĝo postvivu regrandigon.
Por enmeti ĉi tiujn instrukciojn, la malfermfonteca ilo estis uzata. Anamorfo, desegnita por injekti promptojn en bildojn bazitajn sur la cela skala algoritmo kaj kaŝi ilin en subtilaj ŝablonoj. La bildantaŭprilaborado de la artefarita inteligenteco poste finfine malkaŝas ilin.
Post kiam la prompto estas rivelita, la modelo povas aktivigi integriĝojn kiel Zapier (aŭ servoj similaj al IFTTT) kaj ĉenaj agoj: datenkolektado, sendado de retpoŝtoj aŭ konektoj al triapartaj servoj, ĉio ene de ŝajne normala fluo.
Mallonge, ĉi tio ne estas izolita fiasko de provizanto, sed prefere struktura malforteco en pritraktado de skalitaj bildoj ene de multimodalaj duktoj kiuj kombinas tekston, vizion kaj ilojn.
Mildigaj mezuroj kaj bonaj praktikoj
Esploristoj rekomendas evitu malgrandigon kiam ajn eblas kaj anstataŭe, limaj ŝarĝaj dimensiojKiam skalado estas necesa, estas konsilinde inkluzivi antaŭrigardo de tio, kion la modelo efektive vidos, ankaŭ en CLI-iloj kaj en la API, kaj uzu detektilojn kiel ekzemple Google SynthID.
Ĉe la dezajna nivelo, la plej solida defendo estas per sekurecaj ŝablonoj kaj sistemaj kontroloj kontraŭ mesaĝinjekto: neniu enhavo enigita en bildon devus povi komenciĝi Vokoj al sentemaj iloj sen eksplicita konfirmo de la uzanto.
Sur la funkcia nivelo, estas prudente Evitu alŝuti bildojn de nekonata origino al Gemini kaj zorge reviziu la permesojn donitajn al la asistanto aŭ aplikaĵoj (aliro al retpoŝto, kalendaro, aŭtomatigoj, ktp.). Ĉi tiuj baroj signife reduktas la eblan efikon.
Por teknikaj teamoj, valoras revizii multmodalan antaŭtraktadon, plifortigi la agadprovkeston, kaj registri/atenti pri anomaliaj padronoj ilo-aktivigo post analizado de bildoj. Tio kompletigas produkto-nivelan defendon.
Ĉio indikas, ke ni alfrontas alia variaĵo de rapida injekto Aplikita al vidaj kanaloj. Per preventaj rimedoj, eniga kontrolo kaj devigaj konfirmoj, la marĝeno de ekspluatado estas malvastigita kaj la risko estas limigita por uzantoj kaj entreprenoj.
La esplorado fokusiĝas al blinda makulo en multimodalaj modeloj: Bildoskalkado povas fariĝi atakvektoro Se ne kontrolita, kompreni kiel enigaĵo estas antaŭprilaborita, limigi permesojn kaj postuli konfirmojn antaŭ kritikaj agoj povas fari la diferencon inter nura momentfoto kaj la enirejo al viaj datumoj.
Mi estas teknologientuziasmulo, kiu transformis siajn "geek" interesojn en profesion. Mi pasigis pli ol 10 jarojn de mia vivo uzante avangardan teknologion kaj tuŝante ĉiajn programojn pro pura scivolemo. Nun mi specialiĝis pri komputila teknologio kaj videoludoj. Ĉi tio estas ĉar de pli ol 5 jaroj mi verkas por diversaj retejoj pri teknologio kaj videoludoj, kreante artikolojn, kiuj celas doni al vi la informojn, kiujn vi bezonas en lingvo komprenebla por ĉiuj.
Se vi havas demandojn, mia scio varias de ĉio rilata al la Vindoza operaciumo same kiel Android por poŝtelefonoj. Kaj mia devontigo estas al vi, mi ĉiam pretas pasigi kelkajn minutojn kaj helpi vin solvi ajnajn demandojn, kiujn vi povas havi en ĉi tiu interreta mondo.