- Une attaque cache des invites multimodales invisibles dans des images qui, lorsqu'elles sont mises à l'échelle sur Gemini, s'exécutent sans avertissement.
- Le vecteur exploite le prétraitement d'image (224x224/512x512) et déclenche des outils comme Zapier pour exfiltrer les données.
- Les algorithmes du voisin le plus proche, bilinéaire et bicubique sont vulnérables ; l'outil Anamorpher permet de les injecter.
- Les experts conseillent d’éviter de réduire l’échelle, de prévisualiser les entrées et d’exiger une confirmation avant d’effectuer des actions sensibles.
Un groupe de chercheurs a documenté une méthode d’intrusion capable de voler des données personnelles en injectant des instructions cachées dans des imagesLorsque ces fichiers sont téléchargés sur des systèmes multimodaux comme Gemini, un prétraitement automatique active les commandes et l'IA les suit comme si elles étaient valides.
La découverte, rapportée par The Trail of Bits, affecte les environnements de production. tels que Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant ou GensparkGoogle a reconnu qu'il s'agissait d'un défi majeur pour le secteur, sans preuve d'exploitation en situation réelle à ce jour. La vulnérabilité a été signalée en privé via le programme 0Din de Mozilla.
Comment fonctionne l'attaque par mise à l'échelle de l'image
La clé réside dans l’étape de pré-analyse : de nombreux pipelines d’IA Redimensionner automatiquement les images aux résolutions standard (224 × 224 ou 512 × 512)En pratique, le modèle ne voit pas le fichier original, mais plutôt une version réduite, et c'est là que le contenu malveillant est révélé.
Les attaquants insèrent Des invites multimodales camouflées par des filigranes invisibles, souvent dans les zones sombres de la photo. Lorsque les algorithmes de mise à l'échelle s'exécutent, ces schémas apparaissent et le modèle les interprète comme des instructions légitimes, ce qui peut entraîner des actions indésirables.
Lors de tests contrôlés, les chercheurs ont réussi à Extraire les données de Google Agenda et les envoyer à une adresse e-mail externe sans confirmation de l'utilisateur. De plus, ces techniques sont liées à la famille des attaques par injection rapide déjà démontré dans des outils agentiques (tels que Claude Code ou OpenAI Codex), capables de exfiltrer des informations ou déclencher des actions d'automatisation exploiter des flux non sécurisés.
Le vecteur de distribution est large : une image sur un site Web, un mème partagé sur WhatsApp ou un campagne de phishing pourrait Activez l'invite lorsque vous demandez à l'IA de traiter le contenuIl est important de souligner que l'attaque se matérialise lorsque le pipeline d'IA effectue la mise à l'échelle avant l'analyse ; la visualisation de l'image sans passer par cette étape ne la déclenche pas.
Par conséquent, le risque est concentré dans les flux où l’IA a accès à des outils connectés (par exemple, envoyer des e-mails, consulter des calendriers ou utiliser des API): S'il n'y a pas de protections, il les exécutera sans intervention de l'utilisateur.
Algorithmes et outils vulnérables impliqués
L'attaque exploite la façon dont certains algorithmes compresser les informations haute résolution en moins de pixels Lors de la réduction de la taille : interpolation par le plus proche voisin, interpolation bilinéaire et interpolation bicubique. Chacune de ces méthodes requiert une technique d'intégration différente pour que le message survive au redimensionnement.
Pour intégrer ces instructions, l'outil open source a été utilisé Anamorphe, conçu pour injecter des invites dans les images en fonction de l'algorithme de mise à l'échelle cible et les dissimuler dans des motifs subtils. Le prétraitement de l'image par l'IA les révèle ensuite.
Une fois l'invite révélée, le modèle peut activer les intégrations comme Zapier (ou des services similaires à IFTTT) et actions en chaîne: collecte de données, envoi d'emails ou connexions à des services tiers, tout cela dans un flux apparemment normal.
En bref, il ne s’agit pas d’une défaillance isolée d’un fournisseur, mais plutôt d’un faiblesse structurelle dans la gestion des images à l'échelle au sein de pipelines multimodaux qui combinent texte, vision et outils.
Mesures d'atténuation et bonnes pratiques
Les chercheurs recommandent éviter la réduction d'échelle autant que possible et, à la place, dimensions de charge limite. Lorsqu'une mise à l'échelle est nécessaire, il est conseillé d'incorporer un aperçu de ce que le modèle verra réellement, également dans les outils CLI et dans l'API, et utilisez des outils de détection tels que Google SynthID.
Au niveau de la conception, la défense la plus solide est celle qui passe par modèles de sécurité et contrôles systématiques contre l'injection de messages : aucun contenu intégré dans une image ne devrait pouvoir initier Appels à des outils sensibles sans confirmation explicite de l'utilisateur.
Sur le plan opérationnel, il est prudent Évitez de télécharger des images d'origine inconnue sur Gemini et examinez attentivement les autorisations accordées à l'assistant ou aux applications (accès aux e-mails, au calendrier, aux automatisations, etc.). Ces barrières réduisent considérablement l'impact potentiel.
Pour les équipes techniques, il est utile d'auditer le prétraitement multimodal, de renforcer le bac à sable d'action et enregistrer/alerter sur les modèles anormaux Activation de l'outil après analyse des images. Ceci complète la défense au niveau du produit.
Tout indique que nous sommes confrontés à une autre variante de l'injection rapide Appliqué aux canaux visuels, des mesures préventives, la vérification des entrées et des confirmations obligatoires réduisent la marge d'exploitation et limitent les risques pour les utilisateurs et les entreprises.
La recherche se concentre sur un angle mort dans les modèles multimodaux : La mise à l'échelle des images peut devenir un vecteur d'attaque Si rien n’est fait, comprendre comment les entrées sont prétraitées, limiter les autorisations et exiger des confirmations avant les actions critiques peut faire la différence entre un simple instantané et la passerelle vers vos données.
Je suis un passionné de technologie qui a fait de ses intérêts de « geek » un métier. J'ai passé plus de 10 ans de ma vie à utiliser des technologies de pointe et à bricoler toutes sortes de programmes par pure curiosité. Aujourd'hui, je me spécialise dans l'informatique et les jeux vidéo. En effet, depuis plus de 5 ans, j'écris pour différents sites Web sur la technologie et les jeux vidéo, créant des articles qui cherchent à vous donner les informations dont vous avez besoin dans un langage compréhensible par tous.
Si vous avez des questions, mes connaissances s'étendent de tout ce qui concerne le système d'exploitation Windows ainsi qu'Android pour les téléphones mobiles. Et mon engagement est envers vous, je suis toujours prêt à consacrer quelques minutes et à vous aider à résoudre toutes les questions que vous pourriez avoir dans ce monde Internet.