Google a corrigé une vulnérabilité dans sa plateforme de codage Antigravity AI, que les chercheurs ont qualifiée de pouvant permettre à des attaquants d'exécuter des commandes sur l'ordinateur des développeurs via une attaque Quick Injection.
Selon le rapport de la société de sécurité informatique Pillar Security, l'outil de recherche de fichiers find_by_name d'Antigravity présente une vulnérabilité : il transmet directement les entrées utilisateur à un utilitaire de ligne de commande sous-jacent sans aucune validation. Cela permet à des entrées malveillantes de transformer une recherche de fichiers en une tâche d'exécution de commandes, permettant ainsi une exécution de code à distance.
En combinant la fonctionnalité d'Antigravity qui permet de créer des fichiers, cette chaîne d'attaque peut être complétée : un script malveillant est d'abord déployé, puis déclenché via une recherche apparemment légitime ; une fois l'injection de prompt réussie, tout cela se produit sans aucune interaction supplémentaire de l'utilisateur. » écrivent les chercheurs de Pillar Security.
Antigravity, lancé en novembre dernier, est un environnement de développement basé sur l'intelligence artificielle de Google, conçu pour aider les programmeurs à écrire, tester et gérer du code à l'aide d'agents logiciels autonomes. Pillar Security a signalé ce problème à Google le 7 janvier, et Google a confirmé la réception du rapport le même jour, en marquant le problème comme résolu le 28 février.
Google n'a pas encore réagi à cette affaire.Decrypted.
Les attaques par injection de prompts consistent en des instructions cachées intégrées dans un contenu qui amènent les systèmes d'intelligence artificielle à effectuer des opérations non prévues. Étant donné que les outils d'IA traitent généralement des fichiers ou textes externes dans le cadre de leur flux de travail normal, le système peut interpréter ces instructions comme des commandes légitimes, permettant ainsi à l'attaquant de déclencher des opérations sur l'ordinateur de l'utilisateur sans avoir besoin d'un accès direct ni d'interactions supplémentaires.
L'été dernier, l'événement impliquant OpenAI, le développeur de ChatGPT, a à nouveau soulevé des inquiétudes concernant les attaques par injection de prompts contre les grands modèles linguistiques. Alerte Son nouvel agent ChatGPT aurait pu être compromis.
OpenAI a écrit dans un article de blog : « Lorsque vous connectez un agent ChatGPT à un site web ou activez un connecteur, il pourra accéder à des données sensibles provenant de ces sources, telles que des e-mails, des fichiers ou des informations de compte. »
Pour démontrer le problème d'antigravité, les chercheurs ont créé un script de test dans l'espace de travail du projet et ont déclenché ce script à l'aide de l'outil de recherche. Après l'exécution du script, l'application calculatrice de l'ordinateur s'est ouverte, ce qui démontre que la fonction de recherche peut être transformée en mécanisme d'exécution de commandes.
Le rapport indique : « Le point crucial est que cette vulnérabilité contournait le mode sécurité d'Antigravity, la configuration de sécurité la plus restrictive de ce produit. »
The research highlights the broader security challenges faced by AI-driven development tools when beginning to autonomously execute tasks.
Pillar Security déclare : « L'industrie doit dépasser les mesures de contrôle basées sur le nettoyage pour adopter l'isolement. Chaque paramètre natif arrivant à une commande shell peut devenir un point d'injection. Auditer ce type de vulnérabilité n'est plus une option, mais une condition préalable à la publication sécurisée des fonctionnalités de proxy. »