Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
A descrição seguinte refere-se a todos os boletins de segurança relacionados com o
Vertex AI.
GCP-2024-063
Publicado: 2024-12-06
Descrição
Gravidade
Notas
Foi descoberta uma vulnerabilidade na publicação da API Vertex AI de pedidos
multimodais do Gemini, o que permite ignorar os
VPC Service Controls.
Um atacante pode conseguir abusar do parâmetro
fileURI
da API para roubar dados.
O que devo fazer?
Não são necessárias ações. Implementámos uma correção para devolver uma mensagem de erro quando um URL de ficheiro multimédia é especificado no parâmetro fileUri e o VPC Service Controls está ativado. Outros exemplos de utilização não são afetados.
Que vulnerabilidades estão a ser abordadas?
A API Vertex AI que publica pedidos multimodais do Gemini permite-lhe
incluir ficheiros multimédia especificando o URL do ficheiro multimédia no
parâmetro fileUri. Esta capacidade pode ser usada para contornar os perímetros dos VPC Service Controls. Um atacante dentro do perímetro de serviço
pode codificar dados sensíveis no parâmetro fileURI para contornar
o perímetro de serviço.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-30 UTC."],[],[]]
