Google ha corregido una vulnerabilidad en su plataforma de codificación Antigravity AI, que los investigadores dicen que podría permitir a los atacantes ejecutar comandos en las computadoras de los desarrolladores mediante un ataque de inyección rápida.
Según el informe de la empresa de seguridad cibernética Pillar Security, se descubrió una vulnerabilidad en la herramienta de búsqueda de archivos find_by_name de Antigravity, que transmite directamente la entrada del usuario a la utilidad de línea de comandos subyacente sin ninguna validación. Esto permite que entradas maliciosas conviertan la búsqueda de archivos en una tarea de ejecución de comandos, logrando así la ejecución remota de código.
Combinando la función de creación de archivos permitida por Antigravity, esto permite que la cadena de ataque se complete completamente: primero se implementa el script malicioso, luego se activa mediante una búsqueda que parece legítima, y una vez que la inyección de indicaciones tiene éxito, todo esto ocurre sin necesidad de ninguna interacción adicional por parte del usuario. Escribieron los investigadores de Pillar Security.
Antigravity se lanzó en noviembre del año pasado como un entorno de desarrollo basado en inteligencia artificial de Google, diseñado para ayudar a los programadores a escribir, probar y gestionar código mediante agentes de software autónomos. Pillar Security informó sobre este problema a Google el 7 de enero, y Google confirmó la recepción del informe el mismo día, marcando el problema como resuelto el 28 de febrero.
Google aún no ha respondido a este asunto.Descifrar.
Los ataques de prompt injection consisten en instrucciones ocultas incrustadas en el contenido que provocan que los sistemas de inteligencia artificial realicen operaciones no previstas. Dado que las herramientas de inteligencia artificial suelen procesar archivos o textos externos dentro de flujos de trabajo normales, el sistema puede interpretar estas instrucciones como comandos legítimos, permitiendo que los atacantes desencadenen operaciones en la computadora del usuario sin necesidad de acceso directo ni interacciones adicionales.
El verano pasado, el evento de OpenAI, el desarrollador de ChatGPT, volvió a generar preocupación sobre la posibilidad de que los modelos de lenguaje grandes sean vulnerables a ataques de inyección de indicaciones.Advertencia Su nuevo agente de ChatGPT podría haber sido comprometido.
OpenAI escribió en un artículo de blog: "Cuando inicie sesión en un sitio web con el agente de ChatGPT o habilite conectores, podrá acceder a datos sensibles de estas fuentes, como correos electrónicos, archivos o información de cuentas."
Para demostrar el problema de antigravedad, los investigadores crearon un script de prueba en el área de trabajo del proyecto y activaron el script mediante la herramienta de búsqueda. Después de ejecutar el script, se abrió la aplicación calculadora de la computadora, lo que demuestra que la función de búsqueda puede convertirse en un mecanismo de ejecución de comandos.
El informe indica: "Lo clave es que la vulnerabilidad contornó el modo de seguridad de Antigravity, la configuración de seguridad más restrictiva de este producto."
Los resultados de la investigación ponen de manifiesto los desafíos de seguridad más amplios que enfrentan las herramientas de desarrollo impulsadas por inteligencia artificial al comenzar a ejecutar tareas de forma autónoma.
Pillar Security indica: "La industria debe ir más allá de las medidas de control basadas en la limpieza y adoptar la aislación de ejecución. Cada parámetro de herramientas nativas que llegue al comando shell puede convertirse en un punto de inyección. Auditar este tipo de vulnerabilidades ya no es opcional, sino una condición previa para lanzar con seguridad funciones de proxy."