Google опять облажалась: в новейшей среде разработки Antigravity IDE нашли критическую уязвимость

Google представила новую среду разработки Antigravity IDE, которая позиционируется как инструмент с ИИ «на первом месте». Однако, как предупреждают эксперты, в ней уже обнаружились проблемы, которые вызывают серьезные опасения по поводу базовой безопасности.

Исследователи обнаружили, что система позволяет своему кодирующему агенту автоматически выполнять команды, когда включены определенные настройки по умолчанию. Это создает лазейки для непреднамеренного поведения.

Когда в исходных файлах или другом обрабатываемом контенте появляется ненадежный ввод, агентом можно манипулировать. В результате он будет выполнять команды, которые пользователь никогда не намеревался запускать.

Видео от DGL.RU

Риски, связанные с доступом к данным и их утечкой

Продукт позволяет агенту выполнять задачи через терминал, и хотя в нем есть защитные механизмы, в их работе остаются некоторые пробелы. Эти пробелы создают пространство для атак с помощью «инъекции команд», которые могут привести к нежелательному выполнению кода, когда агент следует скрытым или враждебным инструкциям.

Та же самая слабость относится и к тому, как Antigravity обрабатывает доступ к файлам. Агент имеет возможность читать и генерировать контент, и это включает файлы, которые могут содержать учетные данные или конфиденциальные материалы проекта.

Утечка данных становится возможной, когда вредоносные инструкции прячут внутри Markdown-файлов, вызовов инструментов или других текстовых форматов. Злоумышленники могут использовать эти каналы, чтобы заставить агента слить внутренние файлы в контролируемые ими места. В отчетах уже упоминаются успешные демонстрации, в ходе которых были собраны логи с облачными учетными данными и закрытым кодом. Это показывает всю серьезность обнаруженных уязвимостей.

Google признала наличие этих проблем и предупреждает пользователей во время установки. Однако такие предупреждения не компенсируют возможность того, что агенты могут работать без надзора. Antigravity предлагает пользователям принять рекомендуемые настройки, которые позволяют агенту работать с минимальным контролем. Такая конфигурация передает решения о необходимости человеческой проверки самой системе, включая утверждение терминальных команд.

Пользователи, которые работают с несколькими агентами через специальный интерфейс, могут просто не заметить вредоносное поведение до того, как действия будут выполнены. Такой дизайн предполагает постоянное внимание со стороны пользователя, хотя интерфейс явно продвигает фоновую работу. В результате конфиденциальные задачи могут выполняться без проверки, а простые визуальные предупреждения мало что меняют в общей картине.

Несмотря на существующие ограничения, утечки учетных данных все равно могут происходить. Среда разработки спроектирована так, чтобы предотвращать прямой доступ к файлам, которые перечислены в .gitignore, включая файлы .env, где хранятся секретные переменные.

Однако агент может обойти этот уровень защиты. Он просто использует команды терминала для вывода содержимого файлов, что фактически игнорирует установленную политику. После сбора данных агент кодирует учетные данные, добавляет их к отслеживаемому домену и активирует субагента-браузера, чтобы завершить утечку. Процесс происходит быстро и редко бывает заметен, если только пользователь активно не следит за действиями агента, что маловероятно, когда несколько задач выполняются параллельно.

Эти проблемы наглядно демонстрируют риски, которые возникают, когда инструментам ИИ предоставляют широкую автономию без соответствующих структурных гарантий безопасности. Дизайн нацелен на удобство, но текущая конфигурация дает злоумышленникам значительные преимущества задолго до того, как будут внедрены более надежные средства защиты.

ИИ в каждый офис: Google представляет Gemini Enterprise для бизнеса