MADRI 28 ago. (Portaltic/EP) -
Um ataque de segurança cibernética é capaz de roubar dados pessoais dos usuários ao esconder em imagens uma injeção de indicações multimodais invisíveis que, quando o usuário as carrega em sistemas como o Gemini CLI, a inteligência artificial (IA) as executa e vaza os dados da vítima.
O escalonamento de imagens foi descoberto como uma "arma" contra sistemas de IA de produção, como o Gemini CLI, o Vertex AI Studio ou a API Gemini, o Google Assistant e o Genspark, entre outros.
Ao enviar uma imagem aparentemente inofensiva para um modelo de linguagem, ele é capaz de roubar dados privados, conforme relatado em uma publicação da equipe do The Trail of Bits.
Isso acontece porque a imagem oculta prompts multimodais que são invisíveis para o usuário. No entanto, a inteligência artificial é capaz de executar esses prompts e filtrar os dados da vítima a partir deles.
Esse processo funciona por meio do dimensionamento da imagem, um processo que é executado automaticamente antes de a IA analisar o arquivo. Portanto, ao anexar uma imagem no Gemini (seja em seu agente de código aberto, na Web ou na API), o modelo não acessa a imagem original, mas uma versão em escala.
Assim, quando os algoritmos de dimensionamento são executados na imagem, o prompt malicioso é descoberto e o Gemini o executa, acionando ferramentas como o Zapier, uma plataforma de automação on-line que conecta aplicativos e serviços sem a necessidade de programação.
Com esse procedimento, os pesquisadores da The Trail of Bits conseguiram extrair os dados do usuário armazenados no Google Calendar e enviá-los para um e-mail de terceiros sem confirmação, conforme declarado em seu relatório.
Eles também alertaram que esse é um dos muitos ataques de injeção rápida que já foram demonstrados em ferramentas de codificação agêntica (como Claude Code e OpenAI Codex), que conseguiram exfiltrar dados e executar códigos remotamente explorando ações inseguras contidas em ambientes isolados, entre outros casos.
TRÊS ALGORITMOS DE DIMENSIONAMENTO VULNERÁVEIS
Os pesquisadores apontaram que esses ataques de dimensionamento de imagens exploram algoritmos de redução de escala, que convertem vários valores de pixel de alta resolução em um único valor de pixel de baixa resolução.
Especificamente, os autores do relatório observaram que existem três algoritmos de escalonamento: "interpolação do vizinho mais próximo, interpolação bilinear e interpolação bicúbica", e cada um deles requer uma abordagem diferente para realizar um ataque de escalonamento de imagem.
Nesse caso, os pesquisadores usaram a ferramenta Anamorpher, que pode introduzir "prompts" nas imagens para os algoritmos mencionados acima, que ficam ocultos nas partes mais escuras da foto.
DEFESA CONTRA ESSES ATAQUES
Em suma, o The Trail of Bits recomendou não usar o downscaling de imagens e simplesmente limitar as dimensões de carregamento, bem como ter uma visualização do que o modelo realmente vê, mesmo nas ferramentas CLI e API, sempre que o downscaling precisar ser executado.
No entanto, os pesquisadores enfatizaram que a defesa "mais forte" é implementar padrões de projeto seguros e defesas sistemáticas que atenuem a injeção de mensagens, além da injeção multimodal.
Assim, as entradas, especialmente as entradas de texto em uma imagem, não poderão iniciar chamadas para ferramentas confidenciais sem a confirmação explícita do usuário.
Esta notícia foi traduzida por um tradutor automático