本頁面由 Cloud Translation API 翻譯而成。

安全性公告

以下說明與 Vertex AI 上的生成式 AI 相關的所有安全性公告。

GCP-2024-063

發布日期：2024-12-06

說明嚴重性附註

說明	嚴重性	附註
我們在 Vertex AI API 發現一項安全漏洞，該 API 用於處理 Gemini 多模態要求，可讓使用者繞過 VPC Service Controls。攻擊者可能會濫用 API 的 `fileURI` 參數，竊取資料。我該怎麼做？不需要採取任何行動。我們已修正問題，當 fileUri 參數中指定媒體檔案網址，且啟用 VPC 服務控制項時，系統會傳回錯誤訊息。其他用途不受影響。這個修補程式修正了哪些安全漏洞？使用 Vertex AI API 處理 Gemini 多模態要求時，您可以在 `fileUri` 參數中指定媒體檔案的網址，藉此加入媒體檔案。這項功能可用於略過 VPC Service Controls 範圍。服務範圍內的攻擊者可能會在 `fileURI` 參數中編碼機密資料，藉此規避服務範圍。	中	CVE-2024-12236

我們在 Vertex AI API 發現一項安全漏洞，該 API 用於處理 Gemini 多模態要求，可讓使用者繞過 VPC Service Controls。攻擊者可能會濫用 API 的 fileURI 參數，竊取資料。

我該怎麼做？

不需要採取任何行動。我們已修正問題，當 fileUri 參數中指定媒體檔案網址，且啟用 VPC 服務控制項時，系統會傳回錯誤訊息。其他用途不受影響。

這個修補程式修正了哪些安全漏洞？

使用 Vertex AI API 處理 Gemini 多模態要求時，您可以在 fileUri 參數中指定媒體檔案的網址，藉此加入媒體檔案。這項功能可用於略過 VPC Service Controls 範圍。服務範圍內的攻擊者可能會在 fileURI 參數中編碼機密資料，藉此規避服務範圍。

中