Gemini 멀티모달 요청을 제공하는 Vertex AI API에서 취약점이 발견되어 VPC 서비스 제어를 우회할 수 있었습니다.
공격자가 API의 fileURI 매개변수를 악용하여 데이터를 유출할 수 있습니다.
어떻게 해야 하나요?
별도의 조치가 필요하지 않습니다. fileUri 매개변수에 미디어 파일 URL이 지정되고 VPC 서비스 제어가 사용 설정된 경우 오류 메시지를 반환하는 수정사항이 구현되었습니다. 다른 사용 사례는 영향을 받지 않습니다.
해결되는 취약점은 무엇인가요?
Gemini 멀티모달 요청을 제공하는 Vertex AI API를 사용하면 fileUri 매개변수에 미디어 파일의 URL을 지정하여 미디어 파일을 포함할 수 있습니다. 이 기능을 사용하면 VPC 서비스 제어 경계를 우회할 수 있습니다. 서비스 경계 내의 공격자가 fileURI 매개변수에 민감한 정보를 인코딩하여 서비스 경계를 우회할 수 있습니다.