Zauber-Bilder ermöglichen Stealth-Angriffe auf KI-Systeme
Sicherheitsforscher haben eine neue Angriffstechnik vorgestellt, die es ermöglicht, vertrauliche Nutzerdaten über manipulierte Bilder zu stehlen. Diese nutzt die inzwischen überall verbauten KI-Modelle aus.
Im Zentrum steht die Tatsache, dass KI-Systeme hochgeladene Bilder meist automatisch verkleinern, um Rechenleistung und Kosten zu sparen. Dabei kommen gängige Resampling-Algorithmen wie "Nearest Neighbor", "Bilinear" oder "Bicubic" zum Einsatz. Diese Verfahren führen dazu, dass beim Herunterskalieren bestimmte Muster sichtbar werden können, die zuvor im Originalbild versteckt waren.
Ein manipuliertes Bild kann dadurch scheinbar unsichtbare Instruktionen enthalten, die erst in der verkleinerten Version erscheinen - für das menschliche Auge kaum erkennbar, für ein Sprachmodell jedoch lesbar. In einem Beispiel färbten sich dunkle Flächen beim Downscaling rot, wodurch versteckter schwarzer Text sichtbar wurde. Das KI-Modell interpretierte diesen Text dann automatisch als legitimen Teil der Nutzereingabe.
Aus Nutzersicht wirkt alles unauffällig. Im Hintergrund kann das System jedoch schädliche Befehle ausführen, mit denen insbesondere sensible Daten abgegriffen werden. In einem Test gelang es den Forschern, über das Tool "Gemini CLI" Kalenderdaten eines Google-Kontos an eine fremde E-Mail-Adresse weiterzuleiten.
Zur Abwehr solcher Angriffe raten die Experten, die Bildgrößen beim Upload zu begrenzen und Nutzern eine Vorschau der verkleinerten Version anzuzeigen. Außerdem sollten sicherheitsrelevante Aktionen nie automatisch ausgeführt werden, sondern stets eine Bestätigung erfordern - hauptsächlich, wenn Text aus Bildern extrahiert wird. Die wichtigste Verteidigung liege jedoch in einem sicheren Systemdesign, das generell robust gegen Prompt-Injection-Angriffe sei, so die Forscher. Nur durch systematische Schutzmechanismen lasse sich verhindern, dass multimodale KI-Anwendungen zum Einfallstor für Datenmissbrauch werden.
Siehe auch:
Skalierung bringt Geheimtexte hervor
Entwickelt wurde der Ansatz von Kikimora Morozova und Suha Sabi Hussain vom Sicherheitsunternehmen Trail of Bits. Die Methode basiert auf einem Konzept, das 2020 in einer wissenschaftlichen Arbeit der TU Braunschweig vorgestellt wurde. Damals wurde die Möglichkeit sogenannter "Image-Scaling-Angriffe" in maschinellen Lernsystemen beschrieben. Trail of Bits hat dieses Prinzip nun auf aktuelle KI-Anwendungen übertragen und praktisch demonstriert.Im Zentrum steht die Tatsache, dass KI-Systeme hochgeladene Bilder meist automatisch verkleinern, um Rechenleistung und Kosten zu sparen. Dabei kommen gängige Resampling-Algorithmen wie "Nearest Neighbor", "Bilinear" oder "Bicubic" zum Einsatz. Diese Verfahren führen dazu, dass beim Herunterskalieren bestimmte Muster sichtbar werden können, die zuvor im Originalbild versteckt waren.
Ein manipuliertes Bild kann dadurch scheinbar unsichtbare Instruktionen enthalten, die erst in der verkleinerten Version erscheinen - für das menschliche Auge kaum erkennbar, für ein Sprachmodell jedoch lesbar. In einem Beispiel färbten sich dunkle Flächen beim Downscaling rot, wodurch versteckter schwarzer Text sichtbar wurde. Das KI-Modell interpretierte diesen Text dann automatisch als legitimen Teil der Nutzereingabe.
Aus Nutzersicht wirkt alles unauffällig. Im Hintergrund kann das System jedoch schädliche Befehle ausführen, mit denen insbesondere sensible Daten abgegriffen werden. In einem Test gelang es den Forschern, über das Tool "Gemini CLI" Kalenderdaten eines Google-Kontos an eine fremde E-Mail-Adresse weiterzuleiten.
Gemini ist betroffen
Betroffen sind nach Angaben von Trail of Bits mehrere Plattformen, darunter Googles Gemini-Modelle (CLI, Weboberfläche, API, Vertex AI Studio), der Google Assistant auf Android sowie der Dienst Genspark. Um die Risiken zu verdeutlichen, haben die Forscher ein Open-Source-Tool namens Anamorpher veröffentlicht, das gezielt Bilder für verschiedene Downscaling-Methoden erzeugen kann.Zur Abwehr solcher Angriffe raten die Experten, die Bildgrößen beim Upload zu begrenzen und Nutzern eine Vorschau der verkleinerten Version anzuzeigen. Außerdem sollten sicherheitsrelevante Aktionen nie automatisch ausgeführt werden, sondern stets eine Bestätigung erfordern - hauptsächlich, wenn Text aus Bildern extrahiert wird. Die wichtigste Verteidigung liege jedoch in einem sicheren Systemdesign, das generell robust gegen Prompt-Injection-Angriffe sei, so die Forscher. Nur durch systematische Schutzmechanismen lasse sich verhindern, dass multimodale KI-Anwendungen zum Einfallstor für Datenmissbrauch werden.
Zusammenfassung
- Neue Angriffstechnik nutzt manipulierte Bilder zum Datendiebstahl in KI-Systemen
- Forscher von Trail of Bits bauen auf Konzept der TU Braunschweig von 2020 auf
- Automatische Bildverkleinerung in KI-Anwendungen macht versteckte Befehle sichtbar
- Versteckte Anweisungen können unbemerkt sensible Nutzerdaten abgreifen
- Google Gemini, Assistant und Genspark sind unter den betroffenen Plattformen
- Open-Source-Tool 'Anamorpher' demonstriert Schwachstellen beim Downscaling
- Experten empfehlen Begrenzung der Bildgrößen und robustes Systemdesign
Siehe auch:
Thema:
Videos zum Thema KI
-
KI hält in Kameras Einzug: Was sie dort tut und was es bringt
-
Super Bowl 2026: OpenAI lässt uns mit Codex Neues erschaffen
-
Super Bowl 2026: Claude verrät, wie man einen Sixpack bekommt
-
Super Bowl 2026: Oakley Meta-Brillen halten epische Sportmomente fest
-
Super Bowl 2026: Base44 zeigt, wie KI jeden zum Programmierer macht
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen