Bilgisayar korsanları, Bits Trail tarafından yapılan yeni araştırmalara göre, hassas araç eylemlerini tetiklemek ve Gemini CLI’de veri söndürme elde etmek için aşağı ölçekli görüntülerle ortaya çıkan gizli istemleri silahlandırabilir ve Gemini CLI’da veri açığa çıkması ve benzer riskler Google Asistan ve diğer üretim AI sistemlerine uzanıyor.
Araştırmacılar, AI hizmetlerinin rutin olarak görüntü ölçeklendirmesini nasıl uyguladığını kullanarak, iyi huylu görünümlü bir yüklemenin sadece modelin giriş çözünürlüğünde kötü niyetli talimatlara dönüşebileceğini gösterdiler.
BITS Trail, araç çağrılarını otomatik onaylayan bir Zapier MCP yapılandırmasıyla eşleştirildiğinde Gemini CLI üzerinden Google takvim verilerini püskürten pratik bir görüntü ölçeklendirme istemi enjeksiyonunu açıkladı.
Saldırı, MCP sunucusunun Settings.json’da Trust = true ile yapılandırıldığı varsayılan benzeri bir kuruluma bağlıdır ve hassas eylemler için onay istemlerini kaldırır.
Nasıl Çalışır
Birçok AI boru hattı çıkarımdan önce görüntüyü düşürür ve enterpolasyon, tam çözünürlükte görünmez yüzey kalıpları olabilir – gizli metin veya talimatlar sadece yeniden örneklendikten sonra ortaya çıkar.
Ekip, yastık, pytorch, openCV ve tensorflow gibi kütüphaneler arasında takma davranışı ve uygulama tuhaflıklarından yararlanan, en yakın komşu, bilinear ve bikubiklerden oluşan ortak aşağı skalerlere yükleri uyarladı.
Teknik, birden fazla Google Gemini yüzeyine ve üçüncü taraf uygulamalarına karşı doğrulandı ve tek bir istemcinin ötesinde sistemik pozlamayı vurguladı.
- İkizler arka ucu ile tepe ai stüdyo.
- Gemini’nin Web Arayüzü.
- LLM CLI aracılığıyla İkizler API.
- Android’de Google Asistan.
- Genspark.
Kullanıcıların gördükleri ve modellerin aldığı arasında tehlikeli bir uyumsuzluk vardır: UI’ler genellikle orijinal yüksek çözünürlüklü görüntüyü görüntülerken, model kötü amaçlı yükün göründüğü küçültülmüş bir sürümü yutur.
Gemini CLI durumunda, gizli talimatlar, takvim verilerini herhangi bir kullanıcı onayı olmadan e-postayla gönderen Zapier eylemlerini tetikledi ve tek bir görüntü yüklemesinden gerçek dünya veri kaybını gösterdi.
Enterpolasyon davranışını çıkarmak ve yükleri optimize etmek için Teşkil Desenleri (Checkerards, Moiré, eğimli kenarlar) kullanarak parçalar parmak izi aşağı palavra türleri ve uygulamaları.
Bicubik enterpolasyonun ağırlıklı 4 × 4 mahalleninin yüksek önem taşıyan piksellerin nasıl üretilmesini sağladığını gösterdiler, böylece karanlık bölgelerin aşağı örneklemeden sonra yüksek kontrastlı talimatlara çözüldüğünü gösterdi.
Kütüphaneler arasındaki anti-adiasing, hizalama ve çekirdek aşamalarındaki farklılıklar, sömürülebilirliği önemli ölçüde etkiler ve sistem başına ayarlama gerektirir.
Araştırma ve tekrarlanabilirliği kolaylaştırmak için ekip, bikubik, bilinear ve en yakın komşu yollar için aşağı ölçekte tetiklenen hızlı enjeksiyonlar üretmek ve görselleştirmek için açık kaynaklı bir beta aracı olan Anamorpher’ı yayınladı.
Anamorpher, uygulamaları (OpenCV, Pytorch, Tensorflow, Yastık) karşılaştırmak için bir ön uç ve özel yeniden örneklemeleri takmak için modüler bir arka uç içerir.
Hafifletme
En güçlü öneri, modelin tam olarak ne gördüğünü görmek için tamamen ölçeklendirmek ve yükleme boyut sınırlarını zorlamaktır.
Dönüşümler kaçınılmazsa, her zaman tam modele bağlı girişi önizleyin ve hassas araç çağrıları için açık bir onay gerektirir-özellikle metin, hızlı tasarım desenleri tarafından hızlı enjeksiyona karşı desteklenen görüntüler içinde algılandığında.
Görüntü ölçeklendirme hızlı enjeksiyonları, sıradan görüntüleri çıkarım süresinde gizli komut taşıyıcılarına dönüştürür ve güven = true gibi izin verilen aracı takımları ile birleştirildiğinde veri açığa çıkmasını sağlar.
Gemini CLI, Google Asistanı ve daha fazlası arasında gösterilen etki ile maruz kalma geniştir ve kapatma UX hizalaması, daha katı araç çağrısı geçit kapısı ve yüzeysel içerik filtrelemesinin ötesinde derinlik gerektirir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.