- Napad skriva nevidljive multimodalne upute u slikama koje se, kada se skaliraju na Geminiju, izvršavaju bez upozorenja.
- Vektor koristi predobradu slike (224x224/512x512) i aktivira alate poput Zapiera za izdvajanje podataka.
- Algoritmi najbližeg susjeda, bilinearni i bikubični algoritmi su ranjivi; alat Anamorpher omogućuje njihovo ubrizgavanje.
- Stručnjaci savjetuju izbjegavanje smanjivanja, pregleda unosa i zahtijevanja potvrde prije izvođenja osjetljivih radnji.
Grupa istraživača dokumentirala je metodu upada sposobnu krađa osobnih podataka umetanjem skrivenih uputa u slikeKada se te datoteke prenesu na multimodalne sustave poput Geminija, automatska predobrada aktivira naredbe, a umjetna inteligencija ih slijedi kao da su valjane.
Otkriće, o kojem izvještava The Trail of Bits, utječe na produkcijska okruženja. kao što su Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant ili GensparkGoogle je priznao da je ovo značajan izazov za industriju, bez zasad dokaza o iskorištavanju u stvarnim okruženjima. Ranjivost je privatno prijavljena putem Mozillinog programa 0Din.
Kako funkcionira napad skaliranja slike
Ključ je u koraku prethodne analize: mnogi AI cjevovodi Automatski promijeni veličinu slika na standardne rezolucije (224 × 224 ili 512 × 512)U praksi, model ne vidi originalnu datoteku, već smanjenu verziju, i tu se otkriva zlonamjerni sadržaj.
Napadači ubacuju Multimodalni upiti kamuflirani nevidljivim vodenim žigovima, često u tamnim dijelovima fotografije. Kada se algoritmi za povećanje skale pokrenu, pojavljuju se ovi uzorci, a model ih interpretira kao legitimne upute, što može dovesti do neželjenih radnji.
U kontroliranim testovima, istraživači su uspjeli Izdvoji podatke iz Google kalendara i pošalji ih na vanjsku e-poštu bez potvrde korisnika. Osim toga, ove tehnike povezuju se s obitelji napadi brzim injekcijama već demonstrirano u agentskim alatima (kao što su Claude Code ili OpenAI Codex), sposobnim izvlačenje informacija ili pokretanje automatizacijskih radnji iskorištavanje nesigurnih tokova.
Vektor distribucije je širok: slika na web stranici, meme podijeljen na WhatsAppu ili phishing kampanja mogla Aktivirajte upit kada se od umjetne inteligencije traži da obradi sadržajVažno je naglasiti da se napad materijalizira kada AI cjevovod izvrši skaliranje prije analize; gledanje slike bez prolaska kroz taj korak ga ne pokreće.
Stoga je rizik koncentriran u tokovima gdje umjetna inteligencija ima pristup povezanim alatima (npr. slanje e-pošte, provjeravanje kalendara ili korištenje API-ja): Ako nema zaštitnih mjera, izvršit će ih bez intervencije korisnika.
Ranjivi algoritmi i alati koji su uključeni
Napad iskorištava način na koji određeni algoritmi komprimirati informacije visoke rezolucije u manji broj piksela pri smanjenju veličine: interpolacija najbližeg susjeda, bilinearna interpolacija i bikubična interpolacija. Svaka zahtijeva drugačiju tehniku ugrađivanja da bi poruka preživjela promjenu veličine.
Za ugradnju ovih uputa korišten je alat otvorenog koda Anamorfer, dizajniran za ubrizgavanje uputa u slike na temelju algoritma skaliranja cilja i njihovo skrivanje u suptilnim uzorcima. Prethodna obrada slike umjetne inteligencije zatim ih u konačnici otkriva.
Nakon što se otkrije upit, model može aktivirajte integracije poput Zapiera (ili usluge slične IFTTT-u) i lančane akcijeprikupljanje podataka, slanje e-pošte ili povezivanje s uslugama trećih strana, sve unutar naizgled normalnog toka.
Ukratko, ovo nije izolirani propust dobavljača, već strukturna slabost u rukovanju skaliranim slikama unutar multimodalnih cjevovoda koji kombiniraju tekst, viziju i alate.
Mjere ublažavanja i dobre prakse
Istraživači preporučuju izbjegavajte smanjivanje kad god je to moguće i umjesto toga, dimenzije graničnog opterećenjaKada je potrebno skaliranje, preporučljivo je ugraditi pregled onoga što će model zapravo vidjeti, također u CLI alatima i u API-ju, te koristiti alate za detekciju kao što su Google SynthID.
Na razini dizajna, najčvršća obrana je putem sigurnosni obrasci i sustavne kontrole protiv ubrizgavanja poruka: nijedan sadržaj ugrađen u sliku ne bi trebao moći pokrenuti Pozivi osjetljivih alata bez eksplicitne potvrde korisnika.
Na operativnoj razini, razborito je Izbjegavajte postavljanje slika nepoznatog podrijetla na Gemini i pažljivo pregledajte dopuštenja dodijeljena asistentu ili aplikacijama (pristup e-pošti, kalendaru, automatizaciji itd.). Ove prepreke značajno smanjuju potencijalni utjecaj.
Za tehničke timove vrijedi provjeriti multimodalnu predobradu, ojačati sandbox djelovanja i zapis/upozorenje na anomalne obrasce aktivacija alata nakon analize slika. To nadopunjuje obranu na razini proizvoda.
Sve ukazuje na činjenicu da se suočavamo druga varijanta brze injekcije Primjenjuje se na vizualne kanale. Preventivnim mjerama, provjerom unosa i obveznim potvrdama, margina iskorištavanja se sužava, a rizik za korisnike i tvrtke je ograničen.
Istraživanje se fokusira na slijepu točku u multimodalnim modelima: Skaliranje slike može postati vektor napada Ako se ne označi, razumijevanje načina predobrade unosa, ograničavanje dopuštenja i zahtijevanje potvrda prije kritičnih radnji mogu napraviti razliku između pukog snimka i ulaza u vaše podatke.
Ja sam tehnološki entuzijast koji je svoje "geek" interese pretvorio u profesiju. Proveo sam više od 10 godina svog života koristeći vrhunsku tehnologiju i petljajući sa svim vrstama programa iz čiste znatiželje. Sada sam se specijalizirao za računalne tehnologije i video igre. To je zato što sam više od 5 godina pisao za razne web stranice o tehnologiji i videoigrama, stvarajući članke koji vam nastoje dati informacije koje su vam potrebne na jeziku koji je svima razumljiv.
Ako imate bilo kakvih pitanja, moje znanje seže od svega vezanog uz Windows operativni sustav kao i Android za mobitele. I moja je posvećenost vama, uvijek sam spreman odvojiti nekoliko minuta i pomoći vam riješiti sva pitanja koja imate u ovom internetskom svijetu.