近日,网络安全研究团队Trail of Bits宣布发现一种新型AI安全威胁。研究人员通过在高分辨率图片中嵌入不可见的恶意指令,利用AI系统的图像降采样处理机制,在特定条件下触发攻击代码。
这项创新性研究成果由团队成员Kikimora Morozova与Suha Sabi Hussain共同完成。研究灵感源于2020年德国布伦瑞克工业大学在图像缩放技术方面的安全漏洞理论,但采用了完全不同的实现方式。
据了解,目前主流AI平台为优化性能和降低成本,普遍采用自动降采样处理机制。常用的算法包括最近邻、双线性和双三次插值等重采样方法。这些算法在压缩图像数据的同时,也为潜在的安全威胁提供了可乘之机。
研究人员发现,通过精心设计的图片像素分布,在特定降采样算法下可以形成可识别的文字指令。例如,在双三次插值处理中,原本隐藏的色块会生成明显的黑色文本,从而被AI模型识别为合法输入。
这种新型攻击方式的最大危害在于,生成的文字指令会被AI系统当作用户真实输入处理。在实验中,研究人员利用此漏洞成功绕过了用户的授权流程,直接获取了敏感数据。例如,在Gemini CLI环境中,他们通过 Zapier MCP”trust=True”模式,未经授权就窃取了Google日历的用户数据。
测试表明,这种攻击手法具有极强的通用性。研究人员在多个平台进行了验证,包括Google Gemini CLI、Vertex AI Studio(Gemini后端)、Gemini网页与API接口、安卓系统的Google Assistant以及Genspark等平台均成功触发了漏洞。
为验证攻击的有效性,研究团队还发布了开源工具Anamorpher(测试版)。该工具可以针对不同的降采样算法生成对应的攻击图片。这一成果表明,当前AI系统面临的此类安全威胁可能比已知的更为广泛和复杂。
相关文章
