Downscaled Images กลายเป็นช่องทางใหม่ในการเจาะระบบ AI
- ระบบ Gemini CLI มีการบังคับ downscale ขนาดภาพก่อนส่งเข้าโมเดล
- การตั้งค่า settings.json เป็น trust=True ทำให้ Zapier MCP รันคำสั่งโดยไม่ถามผู้ใช้
รูปที่ 1: prompt injection อยู่ภายใน เมื่อภาพถูกย่อขนาด
รายละเอียดการโจมตี
- แฮกเกอร์ทำการ fingerprint อัลกอริทึมที่ระบบใช้ในการ downscale (เช่น nearest, bilinear, bicubic) แล้วใช้เครื่องมืออย่าง Anamorpher เพื่อสร้างภาพที่ดูปกติแต่เมื่อถูก downscale จะเผย payload
- เมื่อเหยื่ออัปโหลดภาพที่ฝัง payload เข้า Gemini CLI หรือ Vertex AI Studio โมเดลจะประมวลผลภาพที่ถูก downscale และรันคำสั่ง payload ที่ถูกซ่อนมากลับภาพ
- โมเดลอ่านประมวลคำสั่งที่ทางแฮกเกอร์ได้ฝังมากับรูปภาพ เช่น ส่งข้อมูล Calendar ออกทาง Zapier และเนื่องจากค่า trust=True ระบบจึงเรียก Zapier โดยไม่ถามยืนยัน
- ข้อมูลผู้ใช้ เช่น Google Calendar ถูกดึงออกและส่งไปยังแฮกเกอร์ โดยที่ผู้ใช้ไม่สามารถสังเกตความผิดปกติเนื่องจาก UI ไม่ได้แสดงภาพหลังถูก downscale
ผลกระทบจากการโจมตี
เหตุการณ์นี้เปิดเผยช่องโหว่ใหม่ที่แฮกเกอร์สามารถใช้รูปภาพในการลอบส่งคำสั่ง ทำให้ระบบ AI รันการกระทำโดยไม่ผ่านการยืนยันของผู้ใช้ ผลที่ตามมาคือการ ลักลอบดึงข้อมูล หรือการเรียกใช้งานเครื่องมือที่มีความเสี่ยง เช่น API หรือบริการสำคัญ ส่งผลกระทบต่อความปลอดภัยของข้อมูลส่วนบุคคล ข้อมูลองค์กร และความน่าเชื่อถือของระบบ AI เชิงพาณิชย์
สรุปการโจมตี
การโจมตีแบบ image scaling attack คือการอาศัยความแตกต่างระหว่างภาพที่ผู้ใช้เห็นกับภาพที่โมเดลรับไปประมวลผล เพื่อซ่อนคำสั่งโจมตีไว้ในพิกเซล เมื่อภาพถูกย่อขนาด คำสั่งเหล่านี้จะถูกเปิดเผยและรันโดยอัตโนมัติ โดยไม่ต้องผ่านการตรวจสอบของผู้ใช้ ถือเป็นการโจมตีที่ขยายขอบเขตของ prompt injection ไปสู่มิติใหม่ในระบบ multi-modal AI
คำแนะนำ
- ปิดการใช้งานฟังก์ชันอนุมัติอัตโนมัติ บังคับให้ทุกการเรียกใช้ Tool/Agent (เช่น Zapier MCP) ต้องมี User Consent เสมอ
- ลดสิทธิ์การเข้าถึงของ Agent ให้ Tool/Agent เห็นเฉพาะข้อมูลที่จำเป็น เช่น ให้เข้าถึง Calendar เฉพาะ read-only
- บันทึกและตรวจสอบ Logs ทั้ง input ที่โมเดลเห็น และ Action ที่ Agent เรียก
แหล่งอ้างอิง
