安全公告

我们在处理 Gemini 多模态请求的 Vertex AI API 中发现了一个漏洞，该漏洞允许绕过 VPC Service Controls。 攻击者或许能够滥用该 API 的 fileURI 参数来渗漏数据。

我该怎么做？

您无需执行任何操作。我们已实现一项修复，以便在 fileUri 参数中指定媒体文件网址且启用了 VPC Service Controls 时返回错误消息。其他用例不受影响。

解决了哪些漏洞？

通过用于处理 Gemini 多模态请求的 Vertex AI API，您可以通过在 fileUri 参数中指定媒体文件的网址来添加媒体文件。此功能可用于绕过 VPC Service Controls 边界。服务边界内的攻击者可能会在 fileURI 参数中对敏感数据进行编码，以绕过服务边界。