Теорема Найквиста-Шеннона против Google: математики нашли способ взломать Gemini через пиксели

В исследовании специалистов The Trail of Bits раскрыта новая уязвимость в экосистеме Google Gemini и связанных сервисах, которая позволяет скрытно похищать пользовательские данные через изображения, содержащие вредоносные мультимодальные промпты. Эксплойт основан на особенностях масштабирования: когда система автоматически уменьшает изображение перед передачей модели, в низкоразрешённой версии становятся активны инструкции, невидимые пользователю в оригинале. Это позволяет атакующим инициировать выполнение действий от имени жертвы, включая эксфильтрацию личной информации.

Демонстрация атаки проводилась через Gemini CLI, где используется интеграция с Zapier MCP. В файле settings.json по умолчанию установлено значение trust=true, что автоматически разрешает выполнение всех MCP-вызовов без подтверждения пользователя. В ходе эксперимента загруженное изображение активировало скрытую команду, которая передала данные из Google Calendar на почту злоумышленника. Аналогичные сценарии успешно воспроизведены в Vertex AI Studio, Gemini Web, Gemini API через llm CLI, Google Assistant на Android и Genspark, что подчёркивает системный характер уязвимости.

Исходное изображение (слева) и изображение, отображающее скрытые команды при уменьшении масштаба с использованием бикубической интерполяции (справа)

Атака использует эффекты, связанные с теоремой Найквиста–Шеннона: при недостаточной частоте выборки данные восстанавливаются неоднозначно, что создаёт управляемый эффект алиасинга (наложение). Исследователи манипулируют значениями так называемых high-importance pixels — точек, которые сильнее других влияют на итоговую яркость изображения. Полезная нагрузка скрывается в тёмных областях, а смещение цветовой палитры управляется через least-squares optimization, благодаря чему после уменьшения разрешения создаётся новый контраст, незаметный для пользователя, но распознаваемый моделью.

Важную роль в исследовании играет инструмент Anamorpher — открытое ПО для генерации и анализа вредоносных изображений. Он поддерживает три метода масштабирования (nearest neighbor, bilinear, bicubic) и умеет подбирать технику атаки под конкретные библиотеки, включая Pillow, OpenCV, TensorFlow и PyTorch. В частности, показано, как Anamorpher использует особенности bicubic interpolation в OpenCV для внедрения полезной нагрузки, сохраняя при этом «чистый» внешний вид изображения. Утилита включает веб-интерфейс, Python API и модульный бэкенд, что позволяет исследователям адаптировать технику под разные реализации ресемплинга.

Для защиты эксперты рекомендуют отключить автоматическое масштабирование изображений или жёстко ограничить допустимые размеры на уровне сервиса. Если изменение размеров необходимо, пользователю всегда должно отображаться превью именно той версии изображения, которая анализируется моделью, включая CLI и API-интерфейсы. Дополнительно разработчики должны запрещать вызовы внешних инструментов и API без явного подтверждения пользователя и внедрять системные фильтры против мультимодальных атак prompt injection, включая проверку текста внутри изображений.

Авторы предупреждают, что атака особенно опасна для мобильных и периферийных устройств, где фиксированные размеры изображений и упрощённые алгоритмы масштабирования делают технику ещё эффективнее. В дальнейшем планируется изучение влияния подобных атак на голосовые ассистенты и мультимодальные системы , а также расширение функциональности Anamorpher для исследования новых сценариев эксплуатации и методов защиты.