Im Folgenden werden alle Sicherheitsbulletins im Zusammenhang mit generativer KI in Vertex AI beschrieben.
GCP-2024-063
Veröffentlicht: 06.12.2024
Beschreibung
Schweregrad
Hinweise
In der Vertex AI API, die multimodale Gemini-Anfragen verarbeitet, wurde eine Sicherheitslücke entdeckt, die die Umgehung der VPC Service Controls ermöglicht.
Ein Angreifer könnte den Parameter fileURI der API möglicherweise missbrauchen, um Daten zu exfiltrieren.
Was soll ich tun?
Es sind keine Maßnahmen erforderlich. Wir haben eine Korrektur implementiert, die eine Fehlermeldung zurückgibt, wenn im Parameter „fileUri“ eine Mediendatei-URL angegeben ist und die VPC Service Controls aktiviert sind. Andere Anwendungsfälle sind davon nicht betroffen.
Welche Sicherheitslücken werden behoben?
Mit der Vertex AI API für Gemini-Anfragen können Sie Mediendateien einfügen, indem Sie die URL der Mediendatei im Parameter fileUri angeben. Diese Funktion kann verwendet werden, um VPC Service Controls-Perimeter zu umgehen. Ein Angriff innerhalb des Dienstperimeters könnte sensible Daten im Parameter fileURI codieren, um den Dienstperimeter zu umgehen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-10-19 (UTC)."],[],[]]
