El escalado de imágenes ha sido descubierto como un "arma" contra los sistemas de inteligencia artificial de producción, como Gemini CLI, Vertex AI Studio o la API de Gemini, Google Assistant y Genspark, entre otros.
Al enviar una imagen aparentemente inofensiva a un modelo de lenguaje, este es capaz de robar datos privados, tal y como ha recogido en una publicación el equipo de The Trail of Bits.
Esto sucede porque esa imagen esconde indicaciones o 'prompts' multimodales invisibles para el usuario. Sin embargo, la inteligencia artificial es capaz de ejecutar esos 'prompts' y apartir de ellos filtrar los datos de la víctima.
Este proceso funciona a través del escalado de imágenes, un proceso que se ejecuta automáticamente antes de que la IA analice el archivo. Por ello, al adjuntar una imagen en Gemini (ya sea en su agente de código abierto, en la web o en la API) el modelo no accede a la imagen original, sino a una versión escalada.
De esta manera, cuando los algoritmos de escalado se ejecutan en la imagen, el 'prompt' malicioso se descubre y Gemini lo ejecuta, activando herramientas como Zapier, una plataforma de automatización 'online' que conecta aplicaciones y servicios entre sí sin necesidad de programar.
Con este procedimiento, los investigadores de The Trail of Bits han logrado extraer datos de usuarios almacenados en Google Calendar y enviarlos a un correo electrónico ajeno a la víctima sin confirmación, tal y como recogen en su informe.
Asimismo, han advertido de que este es uno de los muchos ataques de inyección rápida que ya se han demostrado en herramientas de codificación agéntica (como Claude Code y OpenAI Codex), y que han sido capaces de exfiltrar datos y ejecutar remotamente códigos mediante la explotación de acciones inseguras contenidas en entornos aislados, entre otros casos.
TRES ALGORITMOS DE ESCALADO VULNERABLES
Los investigadores han señalado que estos ataques de escalado de imágenes explotan algoritmos de reducción de escala, que convierten múltiples valores de píxeles de alta resolución en un único valor de píxel de baja resolución.
En concreto, los autores del informe han apuntado que existen tres algoritmos de escalado: "interpolación del vecino más cercano, interpolación bilineal e interpolación bicúbica", y cada uno exige un enfoque diferente para realizar un ataque de escalado de imágenes.
En este caso, los investigadores han utilizado la herramienta Anamorpher, que puede introducir 'prompts' en las imágenes para los algoritmos mencionados, que oculta en las partes más oscuras de la foto.
DEFENSA ANTE ESTE TIPO DE ATAQUES
Con todo ello, The Trail of Bits ha recomendando no usar la reducción de escala de imágenes y simplemente limitar las dimensiones de carga, así como tener una vista previa de lo que el modelo realmente ve, incluso en las herramientas CLI y API, siempre que se necesite ejecutar la reducción de escala.
No obstante, los investigadores han destacado que la defensa "más sólida" consiste en implementar patrones de diseño seguros y defensas sistemáticas que mitiguen la inyección de mensajes, más allá de la inyección multimodal.
Así, las entradas, especialmente las de texto dentro de una imagen, no podrán iniciar llamadas a herramientas sensibles sin la confirmación explícita del usuario.