Ajoutez directement l'URL du flux à votre lecteur de flux : https://cloud.google.com/feeds/generative-ai-on-vertex-ai-security-bulletins.xml.
GCP-2025-059
Publié : 2025-10-21
Mise à jour : 22/10/2025
Description
Gravité
Remarques
Mise à jour du 22/10/2025 : ajout d'un lien vers la faille CVE.
Le 23 septembre 2025, nous avons détecté un problème technique dans l'API Vertex AI. Il a entraîné le mauvais routage d'un nombre limité de réponses entre les destinataires pour certains modèles tiers lors de l'utilisation de requêtes de streaming. Ce problème est à présent résolu.
Les modèles Google, comme Gemini, n'ont pas été affectés.
Certains proxys internes ne géraient pas correctement les requêtes HTTP comportant un en-tête Expect: 100-continue, ce qui entraînait une désynchronisation dans une connexion de réponse en flux continu. Dans ce cas, une réponse destinée à une requête était plutôt fournie comme réponse à une requête ultérieure.
Que dois-je faire ?
Nous avons implémenté des correctifs pour résoudre correctement la présence de l'en-tête Expect: 100-continue et éviter que ce problème ne se reproduise. Nous avons également ajouté des tests, une surveillance et des alertes pour pouvoir détecter rapidement ce problème et éviter toute régression. Pour le moment, aucune action n'est requise de la part des clients pour éviter ce comportement indésirable.
Les correctifs ont été déployés pour différents modèles selon des calendriers distincts. Les modèles Anthropic ont été corrigés le 26 septembre à 00h45 (heure du Pacifique) et toutes les surfaces le 28 septembre à 19h10 (heure du Pacifique). Les modèles concernés sur l'API Vertex AI et la date de résolution sont listés ci-dessous :
Ce problème a été résolu le 26 septembre 2025 à 00h45 PDT.
Tous les modèles Open Model-as-a-Service, y compris DeepSeek (R1-0528 et V3.1), OpenAI (gpt-oss-120b et gpt-oss-20b), Qwen (Next Instruct 80B, Next Thinking 80B, Qwen 3 Coder et Qwen 3 235B), Llama (Maverick, Scout, 3.3, 3.2, 3.1 405b, 3.1 70b et 3.1 8b)
Ce problème a été résolu le 28 septembre 2025 à 2h43 PDT.
Une faille a été découverte dans l'API Vertex AI pour le traitement des requêtes multimodales Gemini, permettant de contourner VPC Service Controls.
Un pirate informatique peut être en mesure d'utiliser le paramètre fileURI de l'API pour exfiltrer des données.
Que dois-je faire ?
Aucune action n'est requise. Nous avons implémenté un correctif pour renvoyer un message d'erreur lorsqu'une URL de fichier multimédia est spécifiée dans le paramètre fileUri et que VPC Service Controls est activé. Les autres cas d'utilisation ne sont pas concernés.
Quelles failles sont corrigées ?
Le service de l'API Vertex AI pour les requêtes multimodales Gemini vous permet d'inclure des fichiers multimédias en spécifiant l'URL du fichier multimédia dans le paramètre fileUri. Cette fonctionnalité peut être utilisée pour contourner les périmètres VPC Service Controls. Un pirate informatique situé dans le périmètre de service pourrait encoder des données sensibles dans le paramètre fileURI pour contourner le périmètre de service.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/12/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/12/04 (UTC)."],[],[]]
