AI 又出現新漏洞!根據科技媒體 bleepingcomputer 報導,資安公司 Trail of Bits 日前公布一項研究,證實可以在高解析度圖片中隱藏惡意指令,透過 AI 圖片處理時的「降採樣(downscaling)」過程,讓這些看不見的訊息浮出水面,進而誘導 AI 模型執行危險指令,導致個資外洩。
這項攻擊技術由 Trail of Bits 的 Kikimora Morozova 與 Suha Sabi Hussain 研究提出,靈感源自 2020 年德國布倫瑞克工業大學提出的圖像縮放攻擊理論。
縮圖動作成為破口
AI 平台為了省運算資源,通常會自動把圖片縮小解析度再送進模型,常見的縮圖降採樣演算法包括:
-
最近鄰(nearest neighbor)
-
雙線性(bilinear)
-
雙三次插值(bicubic interpolation)
攻擊者可針對這些演算法設計圖片,在原圖中嵌入肉眼看不到的色塊,當圖片經過 AI 降採樣後,這些色塊會轉變為可辨識的文字,進而被語言模型誤認為是指令。
例如在 Trail of Bits 的實驗中,圖片深色區域在經過雙三次降採樣後,會變紅並顯現出黑色文字。這些文字會被 AI 視為正常的使用者輸入並執行,最終導致資料外洩。
實測可成功竊取 Google 行事曆資料
研究團隊在 Gemini CLI(命令列介面)環境中,成功透過這項攻擊,在未經使用者授權的情況下,從 Zapier MCP 平台中啟用「trust=True」模式,進一步擷取 Google 日曆中的資料並發送至指定信箱。
這種攻擊方式不只對 Gemini CLI 有效,研究也指出目前以下平台皆可能受影響:
-
Google Gemini CLI
-
Vertex AI Studio(Gemini 後端)
-
Gemini 官方網站與 API
-
Android 裝置上的 Google Assistant
-
第三方應用 Genspark
Trail of Bits 已釋出一款名為 Anamorpher 的開源工具(測試版),能產出針對不同降採樣演算法設計的「惡意圖片」,讓人更易重現這類攻擊場景。這也意味著,這項漏洞不再只是概念證明,而是實際可重現的資安風險。
- 延伸閱讀:Apple 漏洞賞金號稱可領百萬,研究員卻吐槽只實拿 3.5 萬「也差太多」
- 延伸閱讀:ChatGPT 被爆「零點擊」漏洞!只要知道你的信箱,就能偷偷取走資料
- 延伸閱讀:WinRAR 爆嚴重漏洞,駭客可在 Windows 開機時植入惡意程式
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!