الصفحة الرئيسية
الأخبار
التفاصيل

تصحيح جوجل للثغرة في منصة Antigravity AI للبرمجة

icon币界网
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
صححت جوجل ثغرة في منصتها البرمجية Antigravity AI كانت تسمح للمهاجمين بتشغيل كود ضار على أجهزة المطورين. تضمنت المشكلة، التي اكتشفتها Pillar Security، أداة find_by_name التي تمرر مدخلات غير مُحقَّقة إلى أداة سطر أوامر، مما يمكّن من تنفيذ كود عن بُعد. شهدت الأصول المعرضة للمخاطر انخفاضًا طفيفًا مع تسليط الثغرة الضوء على المخاطر المرتبطة بأدوات الذكاء الاصطناعي. تم الإبلاغ عن الثغرة في 7 يناير 2026، وتم إصلاحها بحلول 28 فبراير. قد تدفع لوائح MiCA الشركات إلى سد فجوات أمنية مشابهة. أدى نص اختبار تم تشغيله عبر الأداة إلى فتح تطبيق الآلة الحاسبة، مما يُظهر مخاطر التنفيذ الفعلية.
موقع CoinDesk يُفيد:

أصلحت جوجل ثغرة أمنية في منصتها البرمجية Antigravity AI، حيث أشار الباحثون إلى أن هذه الثغرة قد تسمح للمهاجمين بتنفيذ أوامر على حواسيب المطورين من خلال هجوم الحقن السريع.

وفقًا لالتقرير، اكتشفت شركة أمن الشبكات Pillar Security وجود ثغرة في أداة بحث الملفات find_by_name الخاصة بـ Antigravity، حيث تقوم الأداة بتمرير مدخلات المستخدم مباشرة إلى أداة سطر الأوامر الأساسية دون أي تحقق. وهذا يسمح للمدخلات الضارة بتحويل عملية بحث الملفات إلى مهمة تنفيذ أوامر، مما يمكّن من تنفيذ رموز عن بُعد.

باستخدام وظيفة إنشاء الملفات التي تسمح بها Antigravity، يصبح سلسلة الهجوم كاملة: نشر سكريبت ضار أولاً، ثم تفعيله عبر بحث يبدو شرعيًا، وعندما ينجح حقن التحذير، لا يتطلب الأمر أي تفاعل إضافي من المستخدم. كتب باحثو Pillar Security.

تم إطلاق Antigravity في نوفمبر الماضي كبيئة تطوير تعتمد على الذكاء الاصطناعي من جوجل، وتهدف إلى مساعدة المبرمجين على كتابة واختبار وإدارة الكود باستخدام وكلاء برمجيات ذاتية. وقد أبلغت Pillar Security جوجل عن هذه المشكلة في 7 يناير، وقامت جوجل بتأكيد استلام التقرير في نفس اليوم، وتم وضع علامة على المشكلة كـ "تم إصلاحها" في 28 فبراير.

لم ترد جوجل حتى الآن على هذا الأمر.解密。

يُشير هجوم حقن التلميح إلى الأوامر المخفية المضمنة في المحتوى التي تُجبر أنظمة الذكاء الاصطناعي على تنفيذ عمليات غير مقصودة. نظرًا لأن أدوات الذكاء الاصطناعي غالبًا ما تعالج ملفات أو نصوص خارجية ضمن سير العمل العادي، فقد تفسّر النظام هذه الأوامر على أنها أوامر مشروعة، مما يسمح للمهاجمين بتشغيل عمليات على جهاز المستخدم دون الحاجة إلى الوصول المباشر أو التفاعل الإضافي.

في صيف العام الماضي، أثارت حادثة OpenAI، مطورة ChatGPT، مجددًا مخاوف بشأن تعرض نماذج اللغة الكبيرة لهجمات حقن التوجيهات. تحذير قد يكون وكيل ChatGPT الجديد قد تم اختراقه.

كتبت OpenAI في مقالة مدونة: "عندما تقوم بتسجيل دخول وكيل ChatGPT إلى موقع ويب أو تفعيل الموصلات، فإنه سيكون قادرًا على الوصول إلى بيانات حساسة من هذه المصادر، مثل البريد الإلكتروني أو الملفات أو معلومات الحساب."

لعرض مشكلة الجاذبية العكسية، أنشأ الباحثون نص اختبار في بيئة عمل المشروع ونشّطوا النص عبر أداة البحث. بعد تنفيذ النص، فُتح تطبيق الآلة الحاسبة على الحاسوب، مما يدل على أن وظيفة البحث يمكن تحويلها إلى آلية تنفيذ أوامر.

أفاد التقرير: "النقطة الأساسية هي أن هذه الثغرة تجاوزت وضع الأمان في Antigravity، وهو أقسى إعداد أمان لهذا المنتج."

تُبرز النتائج البحثية التحديات الأمنية الأوسع التي تواجهها أدوات التطوير المدعومة بالذكاء الاصطناعي عند بدء تنفيذ المهام بشكل مستقل.

Pillar Security تقول: "يجب على الصناعة أن تتجاوز تدابير التحكم القائمة على التنظيف وتعتمد العزل. كل معلمة أصلية تصل إلى أمر shell يمكن أن تصبح نقطة حقن. لم يعد التدقيق على هذه الثغرات خيارًا، بل شرطًا أساسيًا لإطلاق وظائف الوكيل بأمان."

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.