关键漏洞信息 GCP-2025-059 发布日期: 2025-10-21 严重性: 中等 描述: - 在2025年9月23日,发现Vertex AI API中的技术问题导致在使用流式请求时,某些第三方模型的响应被错误地路由到有限数量的接收者。 - 此问题已解决,Google模型(如Gemini)未受影响。 - 内部平台和客户端库正确处理具有“Expect: 100-continue”头的请求,但在流式响应连接中存在一个序列化问题,导致一个请求的响应被错误地作为后续请求的响应交付。 影响范围: - 不同模型在不同时间修复: - Anthropic Partner Model-as-a-Service models (Claude): 2025年9月26日12:45 AM PDT - All Open Models as a Service models: 2025年9月28日7:43 AM PDT - Mistral and A21 Partner Model-as-a-Service models: 2025年9月28日11:00 AM PDT - Self-deployed models: 2025年9月28日7:10 PM PDT 措施: - 实施了修复以正确处理“Expect: 100-continue”头,并防止此问题的再次发生。 - 添加了测试、监控和警报以快速检测问题。 GCP-2024-063 发布日期: 2024-12-06 严重性: 中等 CVE编号: CVE-2024-12226 描述: - 在Vertex AI API服务Gemini多媒体请求中发现漏洞,允许绕过VPC Service Controls。攻击者可能能够滥用fileURI参数从API中泄露数据。 影响范围: - 当指定媒体文件URL的fileURI参数和启用VPC Service Controls时,攻击者可以利用此漏洞。 措施: - 实施了修复,在指定媒体文件URL时返回错误消息。 - 其他用例不受影响。