MADRID, 28 Ago. (CIBERPRO) –
Un ataque cibernético puede robar información personal de los usuarios al ocultar en imágenes una inyección de instrucciones multimodal invisible que, al ser cargada en plataformas como Gemini CLI, permite a la inteligencia artificial (IA) ejecutar esas instrucciones y filtrar los datos de la víctima.
Se ha descubierto que el escalado de imágenes se convierte en una «arma» contra sistemas de IA en producción, como Gemini CLI, Vertex AI Studio, la API de Gemini, Google Assistant y Genspark, entre otros.
Al enviar una imagen que parece inocente a un modelo de lenguaje, este puede robar datos privados, según lo documentado en una publicación por el equipo de The Trail of Bits.
Esto ocurre porque la imagen oculta instrucciones o ‘prompts’ multimodales que son invisibles para el usuario. Sin embargo, la inteligencia artificial es capaz de procesar esos ‘prompts’ y, a partir de ellos, filtrar la información de la víctima.
El proceso se lleva a cabo mediante el escalado de imágenes, que se activa automáticamente antes de que la IA analice el archivo. Por lo tanto, al adjuntar una imagen en Gemini (ya sea en su agente de código abierto, en la web o en la API), el modelo no accede a la imagen original, sino a una versión escalada.
Así, cuando se ejecutan los algoritmos de escalado en la imagen, el ‘prompt’ malicioso se revela y Gemini lo ejecuta, activando herramientas como Zapier, una plataforma de automatización en línea que conecta aplicaciones y servicios sin necesidad de programación.
Con este método, los investigadores de The Trail of Bits han logrado extraer datos de usuarios almacenados en Google Calendar y enviarlos a un correo electrónico ajeno a la víctima sin necesidad de confirmación, tal como se detalla en su informe.
Además, han señalado que este es solo uno de los múltiples ataques de inyección rápida que se han evidenciado en herramientas de codificación agéntica (como Claude Code y OpenAI Codex), capaces de exfiltrar datos y ejecutar códigos de manera remota mediante la explotación de acciones inseguras en entornos aislados, entre otros ejemplos.
TRES ALGORITMOS DE ESCALADO VULNERABLES
Los investigadores han indicado que estos ataques de escalado de imágenes aprovechan algoritmos de reducción de escala, que transforman varios valores de píxeles de alta resolución en un único valor de píxel de baja resolución.
En concreto, los autores del informe han mencionado tres algoritmos de escalado: «interpolación del vecino más cercano, interpolación bilineal e interpolación bicúbica», cada uno requiriendo un enfoque distinto para llevar a cabo un ataque de escalado de imágenes.
En este caso, los investigadores han empleado la herramienta Anamorpher, que puede integrar ‘prompts’ en las imágenes para los algoritmos mencionados, ocultándolos en las áreas más oscuras de la foto.
DEFENSA ANTE ESTE TIPO DE ATAQUES
Con todo esto, The Trail of Bits ha recomendado no utilizar la reducción de escala de imágenes y simplemente limitar las dimensiones de carga, así como ofrecer una vista previa de lo que el modelo realmente visualiza, incluso en herramientas CLI y API, siempre que sea necesario ejecutar la reducción de escala.
Sin embargo, los investigadores han resaltado que la defensa «más robusta» involucra implementar patrones de diseño seguros y defensas sistemáticas que minimicen la inyección de mensajes, más allá de la inyección multimodal.
De este modo, las entradas, especialmente las de texto dentro de una imagen, no podrán activar llamadas a herramientas sensibles sin la confirmación explícita del usuario.
