Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Araştırmacılar, AI imajının nasıl bir saldırı vektörü olabileceğini gösteriyor
Rashmi Ramesh (Rashmiramesh_) •
22 Ağustos 2025
Gizli bilgileri bir resmin içinde gizlemek kolaydır – gizli ajanlar ve bilgisayar korsanları bunu binlerce yıldır yaptı. Şimdi güvenlik araştırmacıları, yalnızca dosyalar AI modelleri tarafından otomatik olarak yeniden boyutlandırıldığında görünen dijital bir görüntüdeki kötü niyetli talimatları gizlemek için bir yöntem keşfettiler.
Ayrıca bakınız: Ping Kimliği: Her Dijital Ana Güven
Yeni saldırı sınıfı, AI sistemlerine karşı hızlı enjeksiyon yapmak için görüntü ölçeklendirme güvenlik açıklarını kullanıyor ve Google’ın Gemini CLI gibi üretim platformlarından kullanıcı verilerini çıkarıyor. Teknik, işlenmeden önce büyük görüntülerin küçülmesinin ortak uygulamasından yararlanır, saldırganların tam çözünürlükte görünmez olan ancak görüntünün sıkıştırıldığı zaman görünen talimatları gömme fırsatları yaratır.
Saldırı, yüksek çözünürlüklü görüntülerde belirli pikselleri manipüle ederek çalışır, böylece AI sistemleri bunları otomatik olarak ölçeklendirdiğinde, kötü niyetli istemler içeren gizli metin ortaya çıkar. Araştırmacılar Google Gemini CLI, Vertex AI Studio, Gemini’nin Web ve API arayüzleri, Google Assistant ve Genspark’ı hedef aldı.
Ekip, Gemini CLI’yi kullanıcı onayı olmadan otomatik olarak onaylayan varsayılan ayarlarla yapılandırarak saldırının gücünü gösterdi. Bir kullanıcı iyi huylu bir görüntü gibi görünen şeyleri yüklediğinde, ölçeklendirme işlemi, Google takviminden bir saldırganın e -posta adresine, hepsi kullanıcı farkındalığı veya rızası olmadan verileri tetikleyen gizli talimatları ortaya çıkardı.
Güvenlik açığı, küçültme algoritmalarının çoklu yüksek çözünürlüklü piksel değerlerini tek düşük çözünürlüklü piksel değerlerine nasıl dönüştürdüğünden kaynaklanmaktadır. Araştırmacılar üç ana küçülme algoritmasını savunmasız olarak tanımladılar: en yakın komşu enterpolasyonu, bilinear enterpolasyon ve bikübik enterpolasyon. Her algoritma farklı sömürü teknikleri ve uygulamalar yastık, pytorch, openCV ve tensorflow dahil olmak üzere kütüphaneler arasında değişir.
Araştırmacılar, belirli algoritmalar ve uygulamalar için hazırlanmış görüntüler üreten açık kaynaklı bir araç olan Anamorpher’ı geliştirdiler. Saldırganlar, tuzak görüntülerinin karanlık bölgelerinde belirli pikselleri değiştirerek tam çözünürlükte görünmez ince parlaklık ayarlamaları yaparlar. Downspaling algoritması bu manipüle edilmiş pikselleri işlediğinde, koyu arka planları kırmızı gibi belirli renklere kaydırırken, diğer alanları değiştirmeden bırakırlar ve gizli metin ve talimatları ortaya çıkarmak için yeterli kontrast oluştururlar.
Araştırmacılar, güvenlik açığının muhtemelen test etmedikleri diğer sistemleri etkilediğini söyledi.
Mobil ve kenar cihazları, sabit görüntü boyutlarını daha sık uyguladıkları ve küçülme algoritmalarına güveniyorlar çünkü özellikle riskle karşı karşıya. Bu cihazların kısıtlı bilgi işlem ortamları genellikle agresif görüntü sıkıştırması gerektirir ve potansiyel olarak ölçeklendirme tabanlı saldırıların etkinliğini artırır.
Keşif, öncelikle eski bilgisayar görme sistemlerine karşı modelin arka planları, kaçırma ve zehirlenme için kullanılan görüntü ölçeklendirme saldırılarına ilişkin önceki araştırmalara dayanmaktadır. Daha yeni AI yaklaşımları daha az boyut kısıtlamasına sahiptir, ancak modelleri çevreleyen sistemler hala görüntü ölçeklendirmesi gereken sınırlamalar uygular.
Savunmasız sistemleri tanımlamak için araştırmacılar, dama tahtası desenleri, eşmerkezli daireler, dikey ve yatay bantlar ve eğimli kenarları olan test görüntülerini kullanarak özel bir parmak izi metodolojisi geliştirdiler. Bu test kalıpları, temel küçülme algoritmasını ve uygulamasını gösteren zil, bulanıklık, kenar taşıma, takma işlem ve renk tutarsızlıkları gibi eserler göstermektedir.
Saldırı, orijinal sinyalleri doğru bir şekilde yeniden yapılandırmak için verilerin ne sıklıkta örneklenmesi gerektiğini yöneten Nyquist-Shannon örnekleme teoreminden kaynaklanıyor. Örnekleme oranları kritik eşiklerin altına düştüğünde, orijinal görüntüde bulunanlardan tamamen farklı desenler oluşturmak için manipüle edilebilen takma etkiler meydana gelir.
Araştırmacılar, küçülme algoritmaları arasında geçiş yapmanın yetersiz koruma sağladığını, çünkü görüntü ölçeklendirme saldırıları hedefledikleri üç ana enterpolasyon yöntemi ile sınırlı olmadıklarını söyledi. Bunun yerine, görüntülerin ölçeklendirilmesini tamamen kullanmaya karşı önerirler, bunun yerine sistemlerin ölçeklendirme ihtiyacını önlemek için yükleme boyutlarını sınırlandırmasını önerirler.
Görüntü dönüşümleri gerçekleştirmesi gereken sistemler için, araştırmacılar son kullanıcılara, bu tür önizlemelerin tipik olarak bulunmadığı komut satırı ve API araçları da dahil olmak üzere AI modelinin tam olarak ne iş işlemlerinin önizlemelerini sunmayı önermektedir. Bu şeffaflık, kullanıcıların AI sistemlerine görüntü göndermeden önce potansiyel manipülasyonları tespit etmelerini sağlayacaktır.
Daha geniş sonuçlar, AI sistemleri için temel güvenlik tasarımına görüntü manipülasyonunun ötesine uzanır. Araştırmacılar, en güçlü savunmanın, özellikle görüntüler içindeki herhangi bir girişin, açık kullanıcı onayı olmadan hassas işlemleri başlatmasını önleyen güvenli tasarım modellerinin uygulanmasını içerdiğini savunuyorlar.
Keşif, Claude Code ve Openai Codex’e karşı önceki gösteriler de dahil olmak üzere, aracı kodlama araçlarını hedefleyen bir dizi hızlı enjeksiyon saldırısındaki en sonuncuyu temsil ediyor. Bu önceki saldırılar, çeşitli vektörler aracılığıyla veri eksfiltrasyonu ve uzaktan kod yürütülmesi sağladı, bu da harici araç ve hizmetlerle etkileşime giren AI sistemlerinde kalıcı güvenlik boşlukları gösterdi.