A continuación, se describen todos los boletines de seguridad relacionados con la IA generativa en Vertex AI.
GCP-2024-063
Publicado: 06-12-2024
Descripción
Gravedad
Notas
Se descubrió una vulnerabilidad en la API de Vertex AI que entrega respuestas a solicitudes multimodales de Gemini, lo que permite omitir los Controles del servicio de VPC.
Un atacante podría abusar del parámetro fileURI de la API para filtrar datos.
¿Qué debo hacer?
No se requiere ninguna acción. Implementamos una corrección para mostrar un mensaje de error cuando se especifica una URL de archivo multimedia en el parámetro fileUri y se habilitan los Controles del servicio de VPC. Otros casos de uso no se ven afectados.
¿Qué vulnerabilidades se abordan?
La API de Vertex AI que entrega solicitudes multimodales de Gemini te permite
incluir archivos multimedia especificando la URL del archivo multimedia en el
parámetro fileUri. Esta capacidad se puede usar para omitir los perímetros de los Controles del servicio de VPC. Un atacante dentro del perímetro de servicio podría codificar datos sensibles en el parámetro fileURI para eludir el perímetro de servicio.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-10-19 (UTC)"],[],[]]
