Google виправив уразливість у своїй платформі Antigravity AI, яку дослідники вважають можливою для атакуючих, щоб виконувати команди на комп’ютері розробника через атаку швидке впровадження.
Згідно з звітом кібербезпекової компанії Pillar Security, інструмент пошуку файлів find_by_name Antigravity містить вразливість, через яку користувацький ввід передається без будь-якої перевірки нижчому командному рядку. Це дозволяє зловмисним вхідним даним перетворити пошук файлів на виконання команд, що призводить до виконання віддаленого коду.
Поєднуючи функцію створення файлів, яку дозволяє Antigravity, це дозволяє повністю реалізувати ланцюжок атаки: спочатку розгортається шкідливий сценарій, а потім він активується через здається легітимний пошук; після успішної ін’єкції підказки все це відбувається без будь-якої додаткової взаємодії з боку користувача, — пишуть дослідники Pillar Security.
Antigravity було запущено у листопаді минулого року як штучний інтелект-орієнтоване середовище розробки від Google, призначене для допомоги програмістам у написанні, тестуванні та управлінні кодом за допомогою автономних програмних агентів. Pillar Security повідомила про цю проблему Google 7 січня, а Google підтвердила отримання звіту того ж дня та позначила проблему як виправлену 28 лютого.
Google ще не відповів на це питання.Розшифровка.
Атака через введення підказок — це приховані інструкції, вбудовані в контент, які змушують системи штучного інтелекту виконувати непередбачені дії. Оскільки інструменти штучного інтелекту зазвичай обробляють зовнішні файли або текст у рамках нормального робочого процесу, система може сприймати ці інструкції як легітимні команди, дозволяючи атакувачеві запускати дії на комп’ютері користувача без прямого доступу чи додаткової взаємодії.
Літом минулого року подія з розробником ChatGPT OpenAI знову викликала занепокоєння щодо того, що великі мовні моделі можуть стати жертвами атак ін'єкції запитів. Попередження його новий агент ChatGPT може бути скомпрометований.
OpenAI написала у блозі: «Коли ви увійдете до ChatGPT-агенту на сайт або увімкнете конектори, він зможе отримувати доступ до чутливих даних з цих джерел, таких як електронна пошта, файли або інформація про обліковий запис».
Для демонстрації проблеми з антигравітацією дослідники створили тестовий скрипт у робочій області проекту та запустили його за допомогою інструменту пошуку. Після виконання скрипту відкрилася програма калькулятор комп’ютера, що свідчить про те, що функція пошуку може бути перетворена на механізм виконання команд.
Звіт стверджує: «Ключовим є те, що ця вразливість обійшла безпечний режим Antigravity — найбільш обмежувальний конфігураційний режим безпеки цього продукту.»
Результати дослідження підкреслюють ширші безпекові виклики, з якими стикаються інструменти розробки, засновані на штучному інтелекті, при початку автономного виконання завдань.
Pillar Security заявляє: «Галузь повинна перейти від контрольних заходів, заснованих на очищенні, до виконання ізоляції. Кожен параметр нативного інструменту, що досягає команди оболонки, може стати точкою введення. Аудит таких вразливостей більше не є варіантом, а є передумовою безпечного випуску функцій агента.»