Google устранила уязвимость в своей платформе Antigravity AI, которую исследователи назвали атакой быстрая инъекция, потенциально позволяющей злоумышленникам выполнять команды на компьютере разработчика через эту уязвимость.
Согласно отчету кибербезопасностной компании Pillar Security, в инструменте поиска файлов find_by_name Antigravity обнаружена уязвимость: пользовательский ввод передается напрямую нижележащему командной строке без какой-либо проверки. Это позволяет вредоносным входным данным превратить поиск файлов в задачу выполнения команд, обеспечивая удаленный код-исполнение.
Сочетая функцию создания файлов, предоставляемую Antigravity, это позволяет завершить цепочку атаки: сначала развертывается вредоносный скрипт, а затем он активируется через кажущийся легитимным поиск; как только внедрение подсказки успешно, все это происходит без дополнительного взаимодействия пользователя.
Antigravity был запущен в ноябре прошлого года как среда разработки на основе искусственного интеллекта от Google, предназначенная для помощи программистам в написании, тестировании и управлении кодом с помощью автономных программных агентов. Pillar Security раскрыла эту проблему Google 7 января, и Google подтвердил получение отчета в тот же день, а 28 февраля отметил проблему как устраненную.
Google пока не прокомментировал этот вопрос.Расшифровка.
Prompt injection attack refers to hidden instructions embedded in content that cause an AI system to perform unintended actions. Since AI tools often process external files or text within normal workflows, the system may interpret these instructions as legitimate commands, allowing attackers to trigger operations on the user's computer without direct access or additional interaction.
Прошлым летом событие, связанное с OpenAI — разработчиком ChatGPT, вновь вызвало обеспокоенность по поводу того, что крупные языковые модели подвержены атакам с помощью инъекций подсказок. Предупреждение о том, что их новый агент ChatGPT может быть скомпрометирован.
OpenAI написала в блоге: «Когда вы входите в ChatGPT-агент на веб-сайте или включаете коннекторы, он сможет получать доступ к чувствительным данным из этих источников, таким как электронная почта, файлы или информация об учетных записях».
Для демонстрации проблемы антигравитации исследователи создали тестовый скрипт в рабочей области проекта и запустили его с помощью инструмента поиска. После выполнения скрипта было открыто приложение калькулятора компьютера, что показало, что функция поиска может быть преобразована в механизм выполнения команд.
Отчет гласит: «Ключевым моментом является то, что уязвимость обходит режим безопасности Antigravity — наиболее строгую конфигурацию безопасности этого продукта».
Исследования подчеркивают более широкие проблемы безопасности, с которыми сталкиваются инструменты разработки на основе искусственного интеллекта при начале самостоятельного выполнения задач.
Pillar Security заявляет: «Отрасль должна перейти от контрольных мер, основанных на очистке, к изоляции выполнения. Каждый параметр нативного инструмента, поступающий в командную оболочку, может стать точкой внедрения. Аудит таких уязвимостей больше не является опциональным — он является обязательным условием для безопасного выпуска функций агента.»