- Напад скрива невидљиве мултимодалне упите у сликама који се, када се скалирају на Џеминију, извршавају без упозорења.
- Вектор користи претходну обраду слике (224x224/512x512) и покреће алате попут Запиера за издвајање података.
- Алгоритми најближег суседа, билинеарни и бикубични алгоритми су рањиви; алатка Anamorpher омогућава њихово убризгавање.
- Стручњаци саветују да избегавате смањење величине, преглед уноса и захтевање потврде пре извршавања осетљивих радњи.
Група истраживача је документовала метод упада који је способан крађа личних података убацивањем скривених инструкција у сликеКада се те датотеке отпреме у мултимодалне системе попут Џеминија, аутоматска претходна обрада активира команде, а вештачка интелигенција их прати као да су валидне.
Откриће, о којем је известио часопис „The Trail of Bits“, утиче на производна окружења. као што су Gemini CLI, Vertex AI Studio, Gemini API, Google Assistant или GensparkГугл је признао да је ово значајан изазов за индустрију, без до сада доказа о експлоатацији у стварним окружењима. Рањивост је приватно пријављена путем Мозилиног програма 0Din.
Како функционише напад скалирања слике
Кључ је у кораку претходне анализе: многи AI цевоводи Аутоматски промените величину слика на стандардне резолуције (224×224 или 512×512)У пракси, модел не види оригиналну датотеку, већ умањену верзију, и ту се открива злонамерни садржај.
Нападачи убацују Мултимодални упити камуфлирани невидљивим воденим жиговима, често у тамним деловима фотографије. Када се алгоритми за повећање скале покрену, ови обрасци се појављују и модел их тумачи као легитимна упутства, што може довести до нежељених радњи.
У контролисаним тестовима, истраживачи су успели да Издвојите податке из Google календара и пошаљите их на спољну е-пошту без потврде корисника. Поред тога, ове технике се повезују са породицом брзи напади ињекцијама већ демонстрирано у агентским алатима (као што су Claude Code или OpenAI Codex), способним извлачење информација или покретање аутоматизационих акција искоришћавање небезбедних токова.
Вектор дистрибуције је широк: слика на веб-сајту, мем дељен на WhatsApp-у или фишинг кампања могао Активирајте промпт када тражите од вештачке интелигенције да обради садржајВажно је нагласити да се напад материјализује када вештачка интелигенција изврши скалирање пре анализе; гледање слике без проласка кроз тај корак га не покреће.
Стога је ризик концентрисан у токовима где вештачка интелигенција има приступ повезаним алатима (нпр. шаљите имејлове, проверавајте календаре или користите API-је): Ако нема заштитних мера, извршиће их без интервенције корисника.
Рањиви алгоритми и алати који су укључени
Напад искоришћава начин на који одређени алгоритми компресовати информације високе резолуције у мањи број пиксела при смањењу величине: интерполација најближег суседа, билинеарна интерполација и бикубична интерполација. Свака захтева другачију технику уграђивања да би порука преживела промену величине.
За уградњу ових упутстава коришћен је алат отвореног кода Анаморфер, дизајниран да убризгава упите у слике на основу алгоритма за скалирање циља и сакрива их у суптилним обрасцима. Претходна обрада слике вештачке интелигенције их затим на крају открива.
Када се открије упит, модел може активирајте интеграције попут Запиера (или услуге сличне IFTTT-у) и ланчане акцијеприкупљање података, слање имејлова или повезивање са услугама трећих страна, све у наизглед нормалном току.
Укратко, ово није изоловани неуспех добављача, већ структурна слабост у руковању скалираним сликама унутар мултимодалних цевовода који комбинују текст, визију и алате.
Мере ублажавања и добре праксе
Истраживачи препоручују избегавајте смањење размене кад год је то могуће и уместо тога, димензије граничног оптерећењаКада је скалирање неопходно, препоручљиво је укључити преглед онога што ће модел заправо видети, такође у CLI алатима и у API-ју, и користите алате за детекцију као што су Google SynthID.
На нивоу дизајна, најчвршћа одбрана је путем безбедносни обрасци и систематске контроле против убризгавања порука: ниједан садржај уграђен у слику не би требало да буде у стању да покрене Позиви осетљивим алатима без експлицитне потврде корисник.
На оперативном нивоу, разумно је Избегавајте отпремање слика непознатог порекла на Gemini и пажљиво прегледајте дозволе додељене асистенту или апликацијама (приступ е-пошти, календару, аутоматизацијама итд.). Ове препреке значајно смањују потенцијални утицај.
За техничке тимове, вреди ревидирати мултимодалну претходну обраду, ојачати „песчаник“ акција и снимање/упозорење о аномалним обрасцима активација алата након анализе слика. Ово допуњује одбрану на нивоу производа.
Све указује на то да се суочавамо са још једна варијанта брзе ињекције Примењује се на визуелне канале. Превентивним мерама, верификацијом уноса и обавезним потврдама, маргина експлоатације је сужена и ризик је ограничен за кориснике и предузећа.
Истраживање се фокусира на слепу тачку у мултимодалним моделима: Скалирање слике може постати вектор напада Ако се не означи, разумевање начина претходне обраде уноса, ограничавање дозвола и захтевање потврда пре критичних радњи могу направити разлику између пуког снимка и приступа вашим подацима.
Ја сам технолошки ентузијаста који је своја „штреберска“ интересовања претворио у професију. Провео сам више од 10 година свог живота користећи најсавременију технологију и петљајући по свим врстама програма из чисте радозналости. Сада сам се специјализовао за компјутерску технологију и видео игрице. То је зато што више од 5 година пишем за различите веб странице о технологији и видео игрицама, стварајући чланке који желе да вам дају информације које су вам потребне на језику који је свима разумљив.
Ако имате било каквих питања, моје знање се креће од свега што се тиче Виндовс оперативног система као и Андроида за мобилне телефоне. И моја посвећеност је вама, увек сам спреман да потрошим неколико минута и помогнем вам да решите сва питања која имате у овом свету интернета.