Los piratas informáticos pueden armarse las indicaciones ocultas reveladas por las imágenes redactadas para desencadenar acciones de herramientas confidenciales y lograr la exfiltración de datos en Gemini CLI, y los riesgos similares se extienden al Asistente de Google y otros sistemas de IA de producción, según una nueva investigación de Trail of Bits.
Al explotar cómo los servicios de IA aplican rutinariamente la escala de imágenes, los investigadores mostraron que una carga de aspecto benigno puede transformarse en instrucciones maliciosas solo en la resolución de entrada del modelo.
Inyecciones de solicitud de escala de imagen.
Trail of Bits reveló una práctica inyección rápida de escala de imágenes que exfiltra los datos del calendario de Google a través de la CLI de Gemini cuando se combina con una configuración de MCP Zapier que llama la herramienta Autolave.
El ataque depende de una configuración predeterminada donde el servidor MCP está configurado con Trust = True en Settings.json, eliminando las indicaciones de confirmación para acciones confidenciales.
Cómo funciona
Muchas imágenes de AI Pipelines Awescale antes de la inferencia, y la interpolación puede la superficie de los patrones invisibles a resolución completa: el texto oculto o las instrucciones emergen solo después de volver a muestrear.
El equipo adaptó las cargas útiles a los redactores comunes, el vecino más cercano, el bilineal y el bicúbico, aprovechando el comportamiento de alias y las peculiaridades de implementación en bibliotecas como almohada, pytorch, opencv y tensorflow.
La técnica se validó con múltiples superficies de Google Gemini y aplicaciones de terceros, lo que subraya la exposición sistémica más allá de un solo cliente.
Vertex AI Studio con un backend de Géminis. Interfaz web de Gemini. API de Géminis a través de la cli LLM. Asistente de Google en Android. Genspark.
Existe un desajuste peligroso entre lo que ven los usuarios y lo que reciben los modelos: las UI a menudo muestran la imagen original de alta resolución, mientras que el modelo ingiere una versión reducida donde aparece la carga útil maliciosa.
En el caso Gemini CLI, las instrucciones ocultas activaron acciones más con más de menos que enviaron datos de calendario sin ninguna aprobación del usuario, lo que demuestra la pérdida de datos del mundo real de una sola carga de imagen.
Exfiltración de datos en Géminis CLI
Tipos e implementaciones de reducción de huellas digitales Trail of Bits utilizando patrones de diagnóstico (tableros de ajedrez, moiré, bordes inclinados) para inferir el comportamiento de interpolación y optimizar las cargas útiles.
Mostraron cómo el vecindario 4 × 4 ponderado de la interpolación bicúbica permite la elaboración de píxeles de alta importancia para que las regiones oscuras se resuelvan en instrucciones de alto contraste después de la muestra.
Las diferencias en las fases anti-aliasing, alineación y núcleo en todas las bibliotecas afectan significativamente la explotabilidad y requieren ajuste por sistema.
Para facilitar la investigación y la reproducibilidad, el equipo lanzó AnamorPher, una herramienta beta de código abierto para generar y visualizar inyecciones de inmediato activadas por el escala por vecinos bicúbicos, bilineales y vecinos más cercanos.
AnamorPher incluye una interfaz para comparar implementaciones (OpenCV, Pytorch, TensorFlow, Pillow) y un backend modular para conectar los remuestres personalizados.
Mitigaciones
La recomendación más fuerte es evitar la reducción de escala por completo y aplicar límites de dimensión de carga para que el modelo ve exactamente lo que el usuario ve.
Si las transformaciones son inevitables, siempre obtenga una vista previa de la entrada exacta unida al modelo y requiere una confirmación explícita para llamadas de herramientas confidenciales, especialmente cuando el texto se detecta dentro de las imágenes respaldadas por patrones de diseño seguros contra la inyección rápida.
Las inyecciones de solicitud de escala de imágenes convierten las imágenes ordinarias en portadores de comando sigilosos en el momento de la inferencia, lo que permite la exfiltración de datos cuando se combina con herramientas de agentes permisivos como Trust = True.
Con un impacto demostrado en Gemini CLI, Google Assistant y más, la exposición es amplia, y el cierre de TI exige una alineación de UX, activación de herramientas más estrictas y defensa en profundidad más allá del filtrado de contenido superficial.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
