世界を動かす技術を、日本語で。

生産AIシステムに対する画像スケーリングの武器化

概要

  • 画像を使ったマルチモーダルプロンプトインジェクション攻撃の脅威紹介
  • Google Gemini CLIなど複数AIシステムでのデータ流出実証
  • 画像スケーリング時の脆弱性悪用手法とアルゴリズムの違い
  • 攻撃防御策と設計パターンの提案
  • オープンソースツール「Anamorpher」の紹介

画像スケーリング攻撃によるマルチモーダルプロンプトインジェクション

  • 一見 無害な画像 をAIシステムに送信することで、 ユーザーデータ流出 を引き起こす攻撃手法
  • 画像スケーリング時に 肉眼では見えないプロンプトインジェクション を埋め込むことで、AIが意図しない動作を実行
  • Google Gemini CLI、Vertex AI Studio、Gemini Web/API、Google Assistant、Gensparkなど 複数のAIシステムで実証
  • 画像はアップロード時に自動で リサイズ・スケーリング されるため、ユーザーが実際にAIが認識する画像を確認できないケースが多い
  • Zapier MCPサーバーなどの 自動承認設定 を利用し、ユーザー確認なしでGoogle Calendarのデータを攻撃者のメールに送信する例を実演

既存のプロンプトインジェクション攻撃との関係

  • Claude CodeやOpenAI Codex等の エージェント型コーディングツール でも同様の攻撃が報告
  • サンドボックスの安全でない動作、ネットワーク許可リストの過剰許可、環境設定の変更による ユーザー確認回避 が過去の主な攻撃経路
  • 依然として 安全なデフォルト設定や設計パターンの不足 が問題

攻撃対象の拡大とユーザー認識とのギャップ

  • Vertex AI Studioでは 高解像度画像 をフロントエンドで表示し、モデルは ダウンサンプル画像 を処理するため、ユーザーとモデルで認識のズレが発生
  • 攻撃ベクトルは 多くのAIシステムで再現可能 であり、今後も拡大が予想される

画像スケーリングアルゴリズムと攻撃手法

  • 主なダウンサンプリングアルゴリズムは Nearest Neighbor、Bilinear、Bicubic
    • 各アルゴリズムごとに 攻撃手法が異なる
    • Pillow、PyTorch、OpenCV、TensorFlow等 ライブラリごとの実装差異 やバグも攻撃手法に影響
  • 各システムのアルゴリズム特定のため、 専用テストスイート (チェッカーボード、同心円、縞模様、モアレ、斜めエッジ等)を開発
  • これにより アーティファクト(リンギング、ブラー、エッジ処理、エイリアシング、色の不整合) を観察し、最適な攻撃を選択

ニクイスト理論とエイリアシングの悪用

  • ニクイスト–シャノン標本化定理により、 サンプリングレートが低いと元画像の再現が困難 になる現象(エイリアシング)を利用
  • 特定ピクセルを操作し、 スケーリング後にターゲットパターンが現れる よう設計

Anamorpherの仕組みと活用

  • オープンソースツール Anamorpher は、主要3種のダウンサンプリング方式に対応した画像作成・可視化機能を提供
  • Bicubic補間では、 16ピクセル(4x4)の重み付け を利用し、高輝度ピクセルを巧妙に配置
  • ダークエリアを利用し、 最適化計算(最小二乗法) で背景色を変化させ、テキスト部分はほぼ維持
  • フロントエンドUIやPython APIで 特定アルゴリズム・実装向けに攻撃画像を生成・検証 可能

防御策と設計上の注意点

  • 脆弱性の少ないアルゴリズム選定だけでは 抜本的な対策とならない
  • 画像スケーリング自体を避け、アップロード画像サイズを制限 するのが理想
  • 変換が必要な場合は、 モデルが実際に処理する画像のプレビューを必ず提供
  • 最も強力な防御は、 設計パターンやシステム的防御 の徹底
    • 画像内テキストが ユーザー確認なしに機密操作を実行できない 設計
    • エージェントシステムのセキュリティガイドライン遵守

今後の課題と展望

  • モバイルやエッジデバイスでは 固定画像サイズや非最適なダウンサンプリングアルゴリズム の利用が多く、攻撃リスクがさらに高まる可能性
  • 音声AI、より高度なフィンガープリント手法、セマンティックプロンプトインジェクション、ディフュージョン、ポリグロット、アーティファクト連鎖 など新たな攻撃面の研究が必要
  • Anamorpherは現在ベータ版 であり、さらなる改善のためフィードバックを歓迎
  • マルチモーダル・エージェント型AIシステムのセキュリティ研究の継続を呼びかけ

Hackerたちの意見

LLMのセキュリティの終焉が怖すぎる。インバンドシグナリングだけをサポートするシステムを作っちゃって、過去のシステム設計から学んだ大事な教訓を台無しにしてるよね。目に見える指示を挿入することから、こういう難読化技術やASCIIスモグリングまで、攻撃ベクトルはたくさんあるし。さらに、私たちのセーフガードは、非決定論的なアルゴリズムに違法な指示に従わないようにお願いするだけなんだよね。

またシリアルターミナルの時代が来たって感じだね。

そうそう、どのモデルにも「sudo」トークンがないのが本当に驚き。普通のトークンでは表現できないことを表現するためのやつね。

もう一つのセーフガードは、LLMやLLMを含むシステムを使わないこと?

あなたが言うように、システムは非決定論的だから、セキュリティの特性がないんだよね。唯一の選択肢は、ユーザー自身のようにサンドボックス化することだけど、それは専門的なデータベースでのトレーニングのアイデアと直接対立する。結局、セキュリティは機能じゃなくてコストだし。AI企業がアップセルを続けて、AIの失敗に対する責任を回避できる限り、株価は上がり続けるし、電気代も一緒に上がる。それが最終的に一番大事なことじゃない? /s

ますます多くの開発者が、LLMに自分の思い通りに動いてくれって頼まなきゃいけないのを見ると、面白いけど恐ろしいよね。まるで40kの世界みたいだ。

組織はセキュリティについてどんな教訓を学んだのかな?「業界標準に従っている」と言えるコンサルタントを雇う? セキュア・バイ・デザインのアプリケーションを考慮せず、機能満載のものをそのまま使って、穴を埋めるために一生懸命働く、理想的には第三者にお金を払わせるか、顧客に払わせる(「ウイルス対策ソフト」)? 「セキュリティを製品として」買って、システム管理ソフトと一緒に使って、サプライチェーン攻撃を受けたら文句を言う?

最初は混乱したよ。記事がプロンプトインジェクションのやり方を説明してなかったから…画像の16進データをASCIIに操作してるのか、何かの副作用なのかと思った。でも、実際には画像自体にレンダリングされたテキストを隠してるだけなんだね。すごい。

うん、VLMでシステムを構築している者としては、これは本当に怖い。これらの攻撃をカバーするためのOWASP風のガイドラインがVLM専用にできることを願ってる。毎月新しい攻撃の話を聞くからね。OWASP自身が最近これを出したのも注目すべきだね。

ちょっと待って…それがまさに俺が思ってた質問なんだけど、レンダリングされたテキストは機械が読むためにOCRが必要になるよね。なんでAIがそんなコストのかかるプロセスを最初からやるの?それってマルチモーダルシステムの一部なのに、プロンプトとそのテキストを区別できないってこと?もしそうなら、その欠陥は全然意味がわからない。これを防げないなんて信じられないよ。たとえ防げなくても、少なくともパイプラインを改善して、OCR機能が自動的にプロンプトに結果を注入しないようにすべきだし、それをユーザーに知らせて確認を求めるべきだよ。くそ…こういう擬似神経的で非決定論的なクソみたいなもの、マジで嫌い!真剣に、アルゴリズムと確かな技術に戻ろうぜ。

最初は画像の中のテキストに気づかなかった…これはリサイズの問題じゃなくて、画像内のテキストがプロンプトの一部になって、エージェントがどんな指示に従っているのかが見えないってことなんだ。

実際に面白いのは、ダウンサンプリングすると異なるように見える敵対的な画像で、結果的にエイリアシングを利用しているところだね。これは従来のダウンサンプリングの話で、AIは関係ないよ。

Hacker Newsで議論の続きを見る