- Antigravity IDE consente agli agenti di eseguire comandi automaticamente nelle configurazioni predefinite.
- Gli attacchi di prompt injection possono innescare l'esecuzione di codice indesiderato all'interno dell'IDE.
- L'esfiltrazione dei dati avviene tramite Markdown, invocazioni di strumenti o istruzioni nascoste.
L'IDE Antigravity di Google, lanciato con un design AI-first, mostra già problemi che sollevano preoccupazioni sulle aspettative di sicurezza di base, hanno avvertito gli esperti.
I ricercatori di PromptArmor hanno scoperto che il sistema consente al suo agente di codifica di eseguire comandi automaticamente quando sono abilitate determinate configurazioni predefinite, e questo crea aperture per comportamenti indesiderati.
Quando un input non fidato appare all'interno di file sorgente o altri contenuti elaborati, l'agente può essere manipolato per eseguire comandi che l'utente non ha mai inteso.
Rischi legati all'accesso e all'esfiltrazione dei dati.
Il prodotto permette all'agente di eseguire compiti tramite il terminale e, sebbene esistano delle misure di salvaguardia, permangono alcune lacune nel modo in cui tali controlli funzionano.
Queste lacune creano spazio per attacchi di prompt injection che possono portare all'esecuzione di codice indesiderato quando l'agente segue input nascosti o ostili.
La stessa debolezza si applica al modo in cui Antigravity gestisce l'accesso ai file.
L'agente ha la capacità di leggere e generare contenuti, e questo include file che possono contenere credenziali o materiale sensibile di progetto.
L'esfiltrazione dei dati diventa possibile quando istruzioni dannose sono nascoste all'interno di Markdown, invocazioni di strumenti o altri formati di testo.
Gli attaccanti possono sfruttare questi canali per indirizzare l'agente a far trapelare file interni in posizioni controllate dagli aggressori.
I report fanno riferimento a log contenenti credenziali cloud e codice privato già raccolti in dimostrazioni di successo, evidenziando la gravità di queste lacune.
Google ha riconosciuto questi problemi e avverte gli utenti durante la fase di onboarding, eppure tali avvertimenti non compensano la possibilità che gli agenti possano operare senza supervisione.
Antigravity incoraggia gli utenti ad accettare le impostazioni consigliate che consentono all'agente di operare con una supervisione minima.
La configurazione affida al sistema le decisioni sulla revisione umana, inclusa la scelta di quando i comandi del terminale richiedono approvazione.
Gli utenti che lavorano con più agenti tramite l'interfaccia Agent Manager potrebbero non intercettare comportamenti dannosi prima che le azioni vengano completate.
Questo design presuppone un'attenzione continua dell'utente anche se l'interfaccia promuove esplicitamente l'operazione in background.
Di conseguenza, compiti sensibili possono essere eseguiti senza controllo e semplici avvisi visivi fanno poco per cambiare la sottostante esposizione.
Queste scelte minano le aspettative solitamente associate a un firewall moderno o a una salvaguardia simile.
Nonostante le restrizioni, possono verificarsi fughe di credenziali. L'IDE è progettato per prevenire l'accesso diretto ai file elencati in .gitignore, inclusi i file .env che memorizzano variabili sensibili.
Tuttavia, l'agente può bypassare questo livello utilizzando i comandi del terminale per stampare il contenuto del file, aggirando di fatto la politica.
Dopo aver raccolto i dati, l'agente codifica le credenziali, le aggiunge a un dominio monitorato e attiva un sotto-agente del browser per completare l'esfiltrazione.
Il processo avviene rapidamente ed è raramente visibile a meno che l'utente non stia monitorando attivamente le azioni dell'agente, cosa improbabile quando più attività vengono eseguite in parallelo.
Questi problemi illustrano i rischi creati quando agli strumenti IA viene concessa ampia autonomia senza le corrispondenti salvaguardie strutturali.
Il design mira alla comodità, ma la configurazione attuale offre agli attaccanti una leva sostanziale ben prima che vengano implementate difese più robuste.
