A continuación, se describen todos los boletines de seguridad relacionados con la IA generativa en Vertex AI.
GCP-2024-063
Publicación: 06/12/2024
Descripción
Gravedad
Notas
Se ha descubierto una vulnerabilidad en la API de Vertex AI que sirve solicitudes multimodales de Gemini, lo que permite eludir Controles de Servicio de VPC.
Un atacante puede abusar del parámetro fileURI de la API para extraer datos.
¿Qué debo hacer?
No es necesario que hagas nada. Hemos implementado una solución para devolver un mensaje de error cuando se especifica una URL de archivo multimedia en el parámetro fileUri y se habilita Controles de Servicio de VPC. Otros casos prácticos no se verán afectados.
¿Qué vulnerabilidades se están abordando?
La API Vertex AI que sirve solicitudes multimodales de Gemini te permite incluir archivos multimedia especificando la URL del archivo multimedia en el parámetro fileUri. Esta función se puede usar para eludir los perímetros de Controles de Servicio de VPC. Un atacante que se encuentre dentro del perímetro de servicio
podría codificar datos sensibles en el parámetro fileURI para eludir
el perímetro de servicio.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-10-19 (UTC)."],[],[]]
