होम
न्यूज़
विवरण

गूगल ने एंटीग्रैविटी एआई कोडिंग प्लेटफॉर्म में वल्नरेबिलिटी को पैच किया

icon币界网
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconसारांश

expand icon
गूगल ने अपने एंटीग्रैविटी एआई कोडिंग प्लेटफॉर्म में एक दोष को ठीक कर दिया है, जिससे हमलावर डेवलपर्स के मशीन पर दुर्भावनापूर्ण कोड चला सकते थे। पिलर सिक्योरिटी द्वारा पाया गया यह मुद्दा, find_by_name टूल द्वारा अवैध इनपुट को कमांड-लाइन यूटिलिटी में पास करने से संबंधित था, जिससे रिमोट कोड निष्पादन संभव हो गया। इस दुर्बलता के कारण एआई टूल्स में जोखिमों की चेतावनी मिलने से रिस्क-ऑन संपत्तियों में हल्की गिरावट आई। यह दोष 7 जनवरी, 2026 को रिपोर्ट किया गया और 28 फरवरी तक ठीक कर दिया गया। MiCA नियमों के कारण कंपनियाँ समान सुरक्षा अंतराल को मजबूत करने की ओर बढ़ सकती हैं। इस टूल के माध्यम से ट्रिगर किया गया एक परीक्षण स्क्रिप्ट ने कैलकुलेटर ऐप को खोल दिया, जिससे वास्तविक निष्पादन के जोखिम सामने आए।
CoinDesk ने रिपोर्ट दिया:

Google ने अपने Antigravity AI कोडिंग प्लेटफॉर्म में एक वैल्नरेबिलिटी को ठीक कर दिया है, जिसे शोधकर्ताओं ने ऐसा बताया है कि यह हमलावरों को विकासकर्ता के कंप्यूटर पर कमांड चलाने की अनुमति दे सकती है। Quick Injection हमला।

रिपोर्ट के अनुसार, साइबर सुरक्षा कंपनी Pillar Security ने पाया कि Antigravity का find_by_name फ़ाइल खोज उपकरण एक दुर्बलता रखता है, जो उपयोगकर्ता इनपुट को किसी भी प्रमाणीकरण के बिना सीधे निचले स्तर के कमांड-लाइन उपकरण को पास करता है। इससे दुर्भावनापूर्ण इनपुट फ़ाइल खोज को कमांड निष्पादन कार्य में बदल सकता है, जिससे रिमोट कोड निष्पादन संभव हो जाता है।

Antigravity के फ़ाइल बनाने के क्षमता को जोड़कर, यह हमले की श्रृंखला को पूरा करता है: पहले दुर्भावनापूर्ण स्क्रिप्ट तैनात की जाती है, फिर एक दिखने में कानूनी खोज के माध्यम से इसे ट्रिगर किया जाता है, और जब प्रॉम्प्ट इंजेक्शन सफल हो जाता है, तो उपयोगकर्ता को कोई अतिरिक्त इंटरैक्शन की आवश्यकता नहीं होती।" Pillar Security के शोधकर्ताओं ने लिखा।

एंटीग्रैविटी को पिछले नवंबर में लॉन्च किया गया था, जो गूगल का एआई-आधारित डेवलपमेंट एनवायरनमेंट है, जिसका उद्देश्य प्रोग्रामर्स को स्वायत्त सॉफ्टवेयर एजेंट्स के साथ कोड लिखने, परीक्षण करने और प्रबंधित करने में मदद करना है। पिलर सिक्योरिटी ने 7 जनवरी को गूगल को इस समस्या की जानकारी दी, जिसे गूगल ने उसी दिन प्राप्त करने की पुष्टि की और 28 फरवरी को इस समस्या को ठीक हो चुकी के रूप में चिह्नित किया।

गूगल ने अभी तक इस मामले पर प्रतिक्रिया नहीं दी है।解密。

प्रॉम्प्ट इंजेक्शन अटैक उन छिपे हुए निर्देशों को संदर्भित करता है जो कंटेंट में शामिल किए जाते हैं और जिनसे एआई सिस्टम अनपेक्षित कार्रवाई करता है। चूंकि एआई टूल्स आमतौर पर बाहरी फाइलों या टेक्स्ट को अपनी सामान्य कार्यप्रवाह में प्रोसेस करते हैं, सिस्टम इन निर्देशों को वैध आदेशों के रूप में व्याख्या कर सकता है, जिससे हमलावर को उपयोगकर्ता कंप्यूटर पर कार्रवाई करने के लिए सीधा पहुंच या अतिरिक्त बातचीत की आवश्यकता नहीं होती।

पिछली गर्मियों में, ChatGPT के विकासक OpenAI की घटना ने बड़े भाषा मॉडल्स पर प्रॉम्प्ट इंजेक्शन हमलों के प्रति चिंता को फिर से जगाया। चेतावनी उनका नया ChatGPT एजेंट संभवतः दुरुपयोग किया जा चुका है।

OpenAI ने एक ब्लॉग पोस्ट में लिखा: "जब आप ChatGPT एजेंट को किसी वेबसाइट पर लॉग इन करते हैं या कनेक्टर्स को सक्षम करते हैं, तो यह इन स्रोतों से संवेदनशील डेटा, जैसे ईमेल, फाइलें या खाता जानकारी, तक पहुँच सकता है।"

एक प्रयोग के लिए, शोधकर्ताओं ने प्रोजेक्ट वर्कस्पेस में एक टेस्ट स्क्रिप्ट बनाया और उसे सर्च टूल के माध्यम से ट्रिगर किया। स्क्रिप्ट के निष्पादन के बाद, कंप्यूटर का कैलकुलेटर एप्लिकेशन खुल गया, जिससे स्पष्ट होता है कि सर्च फ़ंक्शन को कमांड एक्जीक्यूशन मैकेनिज़म में बदला जा सकता है।

रिपोर्ट में कहा गया है: “मुख्य बात यह है कि इस दुर्बलता ने Antigravity की सुरक्षा मोड को बाईपास कर दिया, जो इस उत्पाद की सबसे अधिक प्रतिबंधात्मक सुरक्षा कॉन्फ़िगरेशन है।”

The research highlights the broader security challenges faced by AI-driven development tools when beginning to autonomously execute tasks.

Pillar Security का कहना है: "उद्योग को साफ़ करने पर आधारित नियंत्रणों को छोड़कर अलगाव के कार्यान्वयन की ओर बढ़ना होगा। प्रत्येक शेल कमांड तक पहुँचने वाला मूल टूल पैरामीटर संक्षिप्त बिंदु बन सकता है। इस प्रकार की वैलनरेबिलिटी की ऑडिट करना अब विकल्प नहीं, बल्कि सुरक्षित रूप से एजेंट फ़ंक्शन जारी करने की पूर्वशर्त है।"

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।