- Um ataque esconde avisos multimodais invisíveis em imagens que, quando dimensionadas no Gemini, são executadas sem aviso.
- O vetor aproveita o pré-processamento de imagem (224x224/512x512) e aciona ferramentas como o Zapier para exfiltrar dados.
- Os algoritmos vizinho mais próximo, bilinear e bicúbico são vulneráveis; a ferramenta Anamorpher permite que eles sejam injetados.
- Especialistas aconselham evitar redução de escala, pré-visualização de entradas e exigência de confirmação antes de executar ações confidenciais.
Um grupo de pesquisadores documentou um método de intrusão capaz de roubar dados pessoais injetando instruções ocultas em imagensQuando esses arquivos são carregados em sistemas multimodais como o Gemini, o pré-processamento automático ativa os comandos, e a IA os segue como se fossem válidos.
A descoberta, relatada pelo The Trail of Bits, afeta ambientes de produção. como Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant ou GensparkO Google reconheceu que este é um desafio significativo para o setor, sem evidências de exploração em ambientes reais até o momento. A vulnerabilidade foi relatada de forma privada pelo programa 0Din da Mozilla.
Como funciona o ataque de dimensionamento de imagem
A chave está na etapa de pré-análise: muitos pipelines de IA Redimensione imagens automaticamente para resoluções padrão (224×224 ou 512×512)Na prática, o modelo não vê o arquivo original, mas sim uma versão reduzida, e é aí que o conteúdo malicioso é revelado.
Inserção de atacantes Prompts multimodais camuflados por marcas d'água invisíveis, geralmente em áreas escuras da foto. Quando os algoritmos de upscaling são executados, esses padrões emergem e o modelo os interpreta como instruções legítimas, o que pode levar a ações indesejadas.
Em testes controlados, os pesquisadores conseguiram Extraia dados do Google Agenda e envie para um e-mail externo sem confirmação do usuário. Além disso, essas técnicas vinculam-se à família de ataques de injeção rápida já demonstrado em ferramentas agênticas (como Claude Code ou OpenAI Codex), capazes de exfiltrar informações ou desencadear ações de automação explorando fluxos inseguros.
O vetor de distribuição é amplo: uma imagem em um site, um meme compartilhado no WhatsApp ou uma campanha de phishing poderia Ative o prompt ao pedir para a IA processar o conteúdoÉ importante ressaltar que o ataque se materializa quando o pipeline de IA realiza o dimensionamento antes da análise; visualizar a imagem sem passar por essa etapa não o desencadeia.
Portanto, o risco concentra-se em fluxos onde a IA tem acesso a ferramentas conectadas (por exemplo, envie e-mails, verifique calendários ou use APIs): Se não houver salvaguardas, ele as executará sem intervenção do usuário.
Algoritmos e ferramentas vulneráveis envolvidos
O ataque explora como certos algoritmos comprimir informações de alta resolução em menos pixels ao reduzir o tamanho: interpolação do vizinho mais próximo, interpolação bilinear e interpolação bicúbica. Cada uma requer uma técnica de incorporação diferente para que a mensagem sobreviva ao redimensionamento.
Para incorporar essas instruções, foi utilizada a ferramenta de código aberto Anamorfo, projetado para injetar avisos em imagens com base no algoritmo de dimensionamento de destino e ocultá-los em padrões sutis. O pré-processamento de imagem da IA, então, os revela.
Uma vez que o prompt é revelado, o modelo pode ativar integrações como Zapier (ou serviços semelhantes ao IFTTT) e ações em cadeia: coleta de dados, envio de e-mails ou conexões com serviços de terceiros, tudo dentro de um fluxo aparentemente normal.
Em suma, não se trata de uma falha isolada de um fornecedor, mas sim de uma fraqueza estrutural no manuseio de imagens em escala dentro de pipelines multimodais que combinam texto, visão e ferramentas.
Medidas de mitigação e boas práticas
Os pesquisadores recomendam evite a redução de escala sempre que possível e, em vez disso, dimensões de carga limite. Quando a escala for necessária, é aconselhável incorporar uma prévia do que o modelo realmente verá, também em ferramentas CLI e na API, e usar ferramentas de detecção como Google SynthID.
No nível de design, a defesa mais sólida é através padrões de segurança e controles sistemáticos contra a injeção de mensagens: nenhum conteúdo incorporado em uma imagem deve ser capaz de iniciar Chamadas para ferramentas sensíveis sem confirmação explícita do usuário.
A nível operacional, é prudente Evite enviar imagens de origem desconhecida para o Gemini e revise cuidadosamente as permissões concedidas ao assistente ou aos aplicativos (acesso a e-mail, calendário, automações, etc.). Essas barreiras reduzem significativamente o impacto potencial.
Para as equipes técnicas, vale a pena auditar o pré-processamento multimodal, fortalecer a sandbox de ação e registro/alerta sobre padrões anômalos ativação da ferramenta após análise de imagens. Isso complementa a defesa em nível de produto.
Tudo indica que estamos diante de outra variante de injeção rápida Aplicado a canais visuais. Com medidas preventivas, verificação de entradas e confirmações obrigatórias, a margem de exploração é reduzida e o risco é limitado para usuários e empresas.
A pesquisa se concentra em um ponto cego em modelos multimodais: O dimensionamento de imagens pode se tornar um vetor de ataque Se isso não for feito, entender como a entrada é pré-processada, limitar permissões e exigir confirmações antes de ações críticas pode fazer a diferença entre um mero instantâneo e o portal para seus dados.
Sou um entusiasta da tecnologia que transformou seus interesses “geek” em profissão. Passei mais de 10 anos da minha vida usando tecnologia de ponta e mexendo em todos os tipos de programas por pura curiosidade. Agora me especializei em informática e videogames. Isto porque há mais de 5 anos escrevo para diversos sites sobre tecnologia e videojogos, criando artigos que procuram dar-lhe a informação que necessita numa linguagem compreensível para todos.
Se você tiver alguma dúvida, meu conhecimento vai desde tudo relacionado ao sistema operacional Windows até Android para celulares. E meu compromisso é com você, estou sempre disposto a dedicar alguns minutos e te ajudar a resolver qualquer dúvida que você possa ter nesse mundo da internet.