- Hyökkäys piilottaa näkymättömiä multimodaalisia kehotteita kuviin, jotka skaalattuna Gemini-alustalla suoritetaan ilman varoitusta.
- Vektori hyödyntää kuvan esikäsittelyä (224x224/512x512) ja käynnistää työkaluja, kuten Zapierin, datan purkamiseen.
- Lähimmän naapurin, bilineaarisen ja bikuubisen algoritmin kaltaiset algoritmit ovat haavoittuvia; Anamorpher-työkalu mahdollistaa niiden injektoinnin.
- Asiantuntijat neuvovat välttämään skaalausta pienentämällä, syötteen esikatselua ja vahvistuksen vaatimista ennen arkaluonteisten toimintojen suorittamista.
Tutkijaryhmä on dokumentoinut tunkeutumismenetelmän, joka kykenee henkilötietojen varastaminen lisäämällä piilotettuja ohjeita kuviinKun tiedostot ladataan multimodaalisiin järjestelmiin, kuten Geminiin, automaattinen esikäsittely aktivoi komennot, ja tekoäly noudattaa niitä ikään kuin ne olisivat kelvollisia.
The Trail of Bits -sivuston raportoima löytö vaikuttaa tuotantoympäristöihin. kuten Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant tai GensparkGoogle on myöntänyt, että tämä on merkittävä haaste alalle, eikä haavoittuvuudesta ole toistaiseksi todisteita todellisissa ympäristöissä. Haavoittuvuudesta ilmoitettiin yksityisesti Mozillan 0Din-ohjelman kautta.
Näin kuvan skaalaushyökkäys toimii
Avain on esianalyysivaiheessa: monet tekoälyprosessit Muuta kuvien koko automaattisesti vakiotarkkuuksiin (224 × 224 tai 512 × 512)Käytännössä malli ei näe alkuperäistä tiedostoa, vaan pikemminkin sen pienennettyä versiota, ja siinä haitallinen sisältö paljastuu.
Hyökkääjät lisäävät Monimuotoiset kehotteet naamioituvat näkymättömillä vesileimoilla, usein kuvan tummilla alueilla. Kun skaalausalgoritmit toimivat, nämä kuviot syntyvät ja malli tulkitsee ne oikeiksi ohjeiksi, mikä voi johtaa ei-toivottuihin toimiin.
Kontrolloiduissa kokeissa tutkijat onnistuivat Poimi tiedot Google Kalenterista ja lähetä ne ulkoiseen sähköpostiin ilman käyttäjän vahvistusta. Lisäksi nämä tekniikat linkittyvät perheeseen nopeat injektiohyökkäykset jo osoitettu agenttityökaluissa (kuten Claude Code tai OpenAI Codex), jotka kykenevät suodatustietojen poistaminen tai automaatiotoimintojen käynnistäminen hyödyntämällä turvattomia virtoja.
Jakaumavektori on leveä: verkkosivustolla oleva kuva, WhatsAppissa jaettu meemi tai tietojenkalastelukampanja voisi Aktivoi kehote, kun tekoälyä pyydetään käsittelemään sisältöäOn tärkeää korostaa, että hyökkäys toteutuu, kun tekoälyprosessi suorittaa skaalauksen ennen analyysia; kuvan katsominen ilman kyseisen vaiheen läpikäymistä ei laukaise sitä.
Siksi riski keskittyy virroihin, joissa tekoälyllä on pääsy verkkoon kytkettyihin työkaluihin (esim. lähetä sähköposteja, tarkista kalentereita tai käytä API-rajapintoja): Jos suojatoimia ei ole, se suorittaa ne ilman käyttäjän toimia.
Haavoittuvat algoritmit ja työkalut
Hyökkäys hyödyntää tiettyjen algoritmien tapaa pakkaa korkean resoluution tiedot pienemmäksi pikselimääräksi pienennettäessä: lähimmän naapurin interpolointi, bilineaarinen interpolointi ja bikuubinen interpolointi. Kukin vaatii erilaisen upotustekniikan, jotta viesti selviää koon muuttamisesta.
Näiden ohjeiden upottamiseen on käytetty avoimen lähdekoodin työkalua Anamorferi, joka on suunniteltu lisäämään kuviin kehotteita kohteen skaalausalgoritmin perusteella ja piilottamaan ne hienovaraisiksi kuvioiksi. Tekoälyn kuvan esikäsittely lopulta paljastaa ne.
Kun kehote on paljastettu, malli voi aktivoi integraatioita, kuten Zapier (tai IFTTT:n kaltaisia palveluita) ja ketjutoiminnottiedonkeruu, sähköpostien lähettäminen tai yhteydet kolmannen osapuolen palveluihin, kaikki näennäisen normaalin virtauksen sisällä.
Lyhyesti sanottuna tämä ei ole yksittäisen toimittajan epäonnistuminen, vaan pikemminkin rakenteellinen heikkous skaalattujen kuvien käsittelyssä multimodaalisissa prosessiputkissa, jotka yhdistävät tekstiä, visiota ja työkaluja.
Lieventävät toimenpiteet ja hyvät käytännöt
Tutkijat suosittelevat välttää pienentämistä aina kun mahdollista ja sen sijaan, rajakuorman mitatKun skaalaus on tarpeen, on suositeltavaa sisällyttää esikatselu siitä, mitä malli todellisuudessa näkee, myös CLI-työkaluissa ja API:ssa, ja käytä tunnistustyökaluja, kuten Google SynthID.
Suunnittelutasolla vankin puolustus on kautta turvallisuusmallit ja järjestelmälliset kontrollit viestin injektointia vastaan: kuvaan upotetun sisällön ei pitäisi voida käynnistää Kutsut arkaluontoisiin työkaluihin ilman nimenomaista vahvistusta käyttäjän.
Operatiivisella tasolla on järkevää Vältä tuntemattoman alkuperän kuvien lataamista Geminiin ja tarkista huolellisesti avustajalle tai sovelluksille myönnetyt käyttöoikeudet (sähköpostin, kalenterin, automaatioiden jne. käyttöoikeus). Nämä esteet vähentävät merkittävästi mahdollista vaikutusta.
Teknisten tiimien kannattaa auditoida multimodaalista esikäsittelyä, vahvistaa toimintojen hiekkalaatikkoa ja tallentaa/hälyttää poikkeavista kaavoista työkalun aktivointi kuvien analysoinnin jälkeen. Tämä täydentää tuotetason puolustusta.
Kaikki viittaa siihen, että kohtaamme toinen nopean injektion variantti Sovelletaan visuaalisiin kanaviin. Ennaltaehkäisevien toimenpiteiden, syötteen varmentamisen ja pakollisten vahvistusten avulla hyväksikäyttömarginaali kaventuu ja käyttäjien ja yritysten riski pienenee.
Tutkimus keskittyy multimodaalisten mallien sokeaan pisteeseen: Kuvan skaalaus voi muuttua hyökkäysvektoriksi Jos syötteen esikäsittelyn ymmärtämistä, käyttöoikeuksien rajoittamista ja vahvistusten vaatimista ennen kriittisiä toimia ei valvota, ne voivat ratkaista tilanteen ja datan yhdistämisen välillä.
Olen teknologian harrastaja, joka on muuttanut "nörtti"-harrastuksensa ammatiksi. Olen käyttänyt yli 10 vuotta elämästäni uusinta teknologiaa käyttäen ja kaikenlaisten ohjelmien parissa puhtaasta uteliaisuudesta. Nyt olen erikoistunut tietotekniikkaan ja videopeleihin. Tämä johtuu siitä, että yli 5 vuoden ajan olen työskennellyt kirjoittaen useille teknologiaa ja videopelejä käsitteleville verkkosivustoille ja luonut artikkeleita, jotka pyrkivät antamaan sinulle tarvitsemaasi tietoa kielellä, jota kaikki ymmärtävät.
Jos sinulla on kysyttävää, tietoni ulottuu kaikesta Windows-käyttöjärjestelmään liittyvästä sekä matkapuhelimien Androidista. Ja sitoumukseni on sinulle, olen aina valmis käyttämään muutaman minuutin ja auttamaan sinua ratkaisemaan kaikki kysymyksesi, joita sinulla saattaa olla tässä Internet-maailmassa.