- Napad skrije nevidne multimodalne pozive v slikah, ki se ob skaliranju na Gemini izvedejo brez opozorila.
- Vektor izkorišča predobdelavo slik (224x224/512x512) in sproži orodja, kot je Zapier, za izločanje podatkov.
- Algoritmi najbližjega soseda, bilinearni in bikubični algoritmi so ranljivi; orodje Anamorpher omogoča njihovo vbrizgavanje.
- Strokovnjaki svetujejo, da se izogibate pomanjševanju, predogledu vnosa in zahtevanju potrditve pred izvajanjem občutljivih dejanj.
Skupina raziskovalcev je dokumentirala metodo vdora, ki je sposobna krajo osebnih podatkov z vstavljanjem skritih navodil v slikeKo so te datoteke naložene v multimodalne sisteme, kot je Gemini, samodejna predobdelava aktivira ukaze, umetna inteligenca pa jim sledi, kot da bi bili veljavni.
Odkritje, o katerem poroča The Trail of Bits, vpliva na produkcijska okolja. kot so Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant ali GensparkGoogle je priznal, da je to velik izziv za industrijo, saj doslej ni bilo dokazov o izkoriščanju v resničnih okoljih. Ranljivost je bila zasebno prijavljena prek Mozillinega programa 0Din.
Kako deluje napad skaliranja slike
Ključ je v koraku predhodne analize: veliko cevovodov umetne inteligence Samodejno spreminjanje velikosti slik na standardne ločljivosti (224 × 224 ali 512 × 512)V praksi model ne vidi originalne datoteke, temveč pomanjšano različico, in prav tam se razkrije zlonamerna vsebina.
Napadalci vstavijo Večmodalni pozivi, prikriti z nevidnimi vodnimi žigi, pogosto na temnih območjih fotografije. Ko se algoritmi za povečanje velikosti izvajajo, se ti vzorci pojavijo in model jih interpretira kot legitimna navodila, kar lahko vodi do neželenih dejanj.
V kontroliranih testih je raziskovalcem uspelo Izvleček podatkov iz Google Koledarja in njihovo pošiljanje na zunanji e-poštni naslov brez potrditve uporabnika. Poleg tega se te tehnike povezujejo z družino napadi s hitrim injiciranjem že dokazano v agentnih orodjih (kot sta Claude Code ali OpenAI Codex), ki so sposobna izvleči informacije ali sprožiti avtomatizirana dejanja izkoriščanje nezaščitenih tokov.
Vektor porazdelitve je širok: slika na spletni strani, mem, deljen na WhatsAppu ali phishing kampanja lahko Aktivirajte poziv, ko od umetne inteligence zahtevate obdelavo vsebinePomembno je poudariti, da se napad uresniči, ko cevovod umetne inteligence izvede skaliranje pred analizo; ogled slike brez tega koraka ga ne sproži.
Zato je tveganje skoncentrirano v tokovih, kjer ima umetna inteligenca dostop do povezanih orodij (npr. pošiljanje e-pošte, preverjanje koledarjev ali uporaba API-jev): Če ni zaščitnih ukrepov, jih bo izvedel brez posredovanja uporabnika.
Vključeni ranljivi algoritmi in orodja
Napad izkorišča delovanje določenih algoritmov stisnite informacije visoke ločljivosti v manj slikovnih pik pri zmanjševanju velikosti: interpolacija najbližjega soseda, bilinearna interpolacija in bikubična interpolacija. Vsaka zahteva drugačno tehniko vdelave, da sporočilo preživi spreminjanje velikosti.
Za vdelavo teh navodil je bilo uporabljeno orodje z odprto kodo Anamorfer, zasnovan za vbrizgavanje pozivov v slike na podlagi algoritma za skaliranje cilja in njihovo skrivanje v subtilnih vzorcih. Predobdelava slik, ki jo izvede umetna inteligenca, jih nato na koncu razkrije.
Ko je poziv razkrit, lahko model aktivirajte integracije, kot je Zapier (ali storitve, podobne IFTTT) in verižna dejanjazbiranje podatkov, pošiljanje e-poštnih sporočil ali povezav s storitvami tretjih oseb, vse v na videz normalnem toku.
Skratka, to ni osamljen primer napake dobavitelja, temveč strukturna slabost pri obdelavi pomanjšanih slik znotraj multimodalnih cevovodov, ki združujejo besedilo, vizijo in orodja.
Blažilni ukrepi in dobre prakse
Raziskovalci priporočajo kadar koli je to mogoče, se izogibajte zmanjševanju obsega in namesto tega, mejne dimenzije obremenitveKadar je potrebno skaliranje, je priporočljivo vključiti predogled tega, kar bo model dejansko videl, tudi v orodjih CLI in v API-ju, ter uporabite orodja za zaznavanje, kot so Google SynthID.
Na ravni zasnove je najtrdnejša obramba varnostni vzorci in sistematični nadzor proti vbrizgavanju sporočil: nobena vsebina, vdelana v sliko, ne sme imeti možnosti za začetek Klici občutljivih orodij brez izrecne potrditve uporabnika.
Na operativni ravni je preudarno Izogibajte se nalaganju slik neznanega izvora v Gemini in skrbno preglejte dovoljenja, dodeljena pomočniku ali aplikacijam (dostop do e-pošte, koledarja, avtomatizacije itd.). Te ovire znatno zmanjšajo morebitni vpliv.
Za tehnične ekipe je vredno preveriti multimodalno predobdelavo, utrditi peskovnik dejanj in beleženje/opozorilo o anomalnih vzorcih aktivacija orodja po analizi slik. To dopolnjuje obrambo na ravni izdelka.
Vse kaže na to, da se soočamo druga različica hitrega injiciranja Uporablja se za vizualne kanale. S preventivnimi ukrepi, preverjanjem vnosov in obveznimi potrditvami se zožijo možnosti izkoriščanja in omeji tveganje za uporabnike in podjetja.
Raziskava se osredotoča na slepo pego v multimodalnih modelih: Skaliranje slike lahko postane vektor napada Če tega ne preverite, lahko razumevanje, kako se vhodni podatki predobdelujejo, omejevanje dovoljenj in zahtevanje potrditev pred kritičnimi dejanji pomenijo razliko med zgolj posnetkom in prehodom do vaših podatkov.
Sem tehnološki navdušenec, ki je svoja "geek" zanimanja spremenil v poklic. Več kot 10 let svojega življenja sem porabil za uporabo vrhunske tehnologije in premleval najrazličnejše programe iz čiste radovednosti. Zdaj sem se specializiral za računalniško tehnologijo in video igre. To je zato, ker že več kot 5 let pišem za različna spletna mesta o tehnologiji in video igrah ter ustvarjam članke, ki vam želijo dati informacije, ki jih potrebujete, v jeziku, ki je razumljiv vsem.
Če imate kakršna koli vprašanja, moje znanje sega od vsega v zvezi z operacijskim sistemom Windows kot tudi Androidom za mobilne telefone. In moja zaveza je vam, vedno sem pripravljen porabiti nekaj minut in vam pomagati razrešiti kakršna koli vprašanja, ki jih morda imate v tem internetnem svetu.