Новый прорыв Близнецов — это наш нулевой день, но только для изображений.
Исследование, проведенное Trail of Bits, выявило новую уязвимость к экосистеме Google Gemini и связанных с ней служб, что позволяет скрывать кражу данных потребителей через изображения, содержащие злокачественные мультимодальные подсказки. Эксплойт основан на функции масштабирования: когда система автоматически уменьшает изображение перед передачей модели, в версии низкого разрешения показывают инструкции, которые невидимы для пользователя в оригинале — Они становятся активными в версии с уменьшенным разрешением. Это позволяет злоумышленникам инициировать действия от имени жертвы, включая эксфильтирование личной информации.
Атака была продемонстрирована через CLI Gemini, который использует интеграцию с Zapier MCP. Файл настройки. В эксперименте загруженное изображение активирует скрытую команду, которая передает данные из Google Calendar в E -Mail. Подобные сценарии были успешно сыграны в Vertex AI Studio, Gemini Web, Gemini API через LLM CLI, Google Assistant на Android и Genspark, который подчеркивает системную природу уязвимости.
В атаке используются эффекты, связанные с теоремой никуистианов: если частота дискретизации недостаточна, данные восстанавливаются неоднозначно, что создает контролируемый эффект псевдонимы (перекрытие).
Исследователи манипулируют ценностями SO -Salled. Пиксели с высокой импортой-точки, которые оказывают наиболее сильное влияние на конечную яркость изображения. Полезная нагрузка скрыта в темных областях, и изменение цветовой палитра управляется оптимизацией методом самых маленьких квадратов, поэтому после уменьшения разрешения создается новый контраст, который невидим для пользователя, но узнаваемой для модели.
Анаморфероткрытый код для генерации и анализа вредоносных изображений, играет важную роль в исследовании. Он поддерживает три метода масштабирования (ближайший сосед, билинейный, бикубический) и способен адаптировать методы атаки к конкретным библиотекам, включая подушку, OpenCV, TensorFlow и Pytorch. В частности, показано, как Anamorpher использует характеристики бикубической интерполяции в OpenCV, чтобы ввести полезную нагрузку при сохранении «чистого» внешнего вида изображения. Утилита включает в себя веб -интерфейс, API Python и модульный бэкэнд, который позволяет исследователям адаптировать эту технику к различным преобразованию воспроизведения.
Для защиты эксперты рекомендуют отключить автоматическое масштабирование изображений или строго ограничивать допустимые размеры на уровень обслуживания. При необходимости пользователь всегда должен видеть предварительную визуализацию версии изображения, проанализированной моделью, включая интерфейсы CLI и API. Кроме того, разработчики должны запрещать вызовы на внешние инструменты и API без явного подтверждения пользователя и применять системные фильтры против мультимодальных атак для инъекции подсказки, включая проверку текста в изображения.
Авторы предупреждают, что атака особенно опасна для мобильных и периферийных устройств, где фиксированные размеры изображений и упрощенные алгоритмы масштабирования делают технику еще более эффективной. Были планировались дальнейшие исследования для изучения таких атак на голосовых помощников и мультимодальных систем, а также для расширения функциональности Анаморфера, чтобы изучить новые операционные сценарии и методы защиты.
