Google-un Antigravity AI agentinin zəifliyi: Sandboxdan çıxmaq və uzaqdan kod icrasına imkan verən təhlükə

Google-un Antigravity AI agentində kəşf edilən təhlükəli zəiflik

İşletmələr agent əsaslı süni intellektdən istifadəni artırarkən, tədqiqatçılar böyük kommersiya modellərində yeni təhlükə səthini genişləndirə biləcək zəiflikləri aşkar etməyə davam edirlər. Bu həftə Pillar Security tədqiqatçıları, Google tərəfindən yaradılan və fayl sistemində əməliyyatlar aparmaq üçün istifadə edilən Antigravity adlı AI alətində təhlükəli zəifliyi aşkar etdilər.

Zəiflik, istifadəçilər tərəfindən quraşdırılan düzəlişdən sonra aradan qaldırıldı. Lakin əvvəlcə bu zəiflik, təhlükəli kod icrasına imkan verən və agentlərin sandbox mühitindən çıxmasına səbəb olan birləşmiş prompt inyeksiyası ilə əlaqələndirilmişdi.

Secure Mode rejimini keçmək mümkün oldu

Antigravity-nin Secure Mode rejimi, Google-un agentləri üçün ən yüksək təhlükəsizlik səviyyəsi hesab olunur. Bu rejim:

• Bütün əməliyyatları virtual sandbox mühitində icra edir;
• Şəbəkə çıxışını məhdudlaşdırır;
• Agentin işlədiyi kataloqun xaricində kod yazmasını qadağan edir.

Secure Mode, AI agentlərin təhlükəli əməliyyatlar həyata keçirməsinin qarşısını almaq üçün nəzərdə tutulmuşdu. Lakin Antigravity-də istifadə edilən "find_by_name" adlı fayl axtarış aləti, 'native' sistem aləti kimi təsnif edilir. Bu, agentin bu aləti Secure Mode tərəfindən əməliyyat səviyyəsi yoxlanılmadan birbaşa icra edə bilməsi mənasını verir.

"Secure Mode tərəfindən tətbiq edilən təhlükəsizlik sərhədi bu əməliyyatı heç vaxt görmür. Bu, hücumçunun təhlükəsiz konfiqurasiyada belə arbitrar kod icrasına nail olması deməkdir."
— Dan Lisichkin, AI təhlükəsizlik tədqiqatçısı, Pillar Security

Prompt inyeksiyası ilə hücumun mümkünlüyü

Hücumlar, agentə qoşulmuş təhlükəli identifikasiyalı hesabatlardan və ya agent tərəfindən qəbul edilən mənbələrdən (məsələn, açıq mənbəli fayllar və veb məzmunu) gizli prompt göstərişlərinin daxil edilməsi ilə həyata keçirilə bilər. Antigravity, qəbul etdiyi məlumatı kontekst üçün istifadə edilən yazılı məlumatdan fərqləndirməkdə çətinlik çəkir. Bu səbəbdən, təhlükəli sənədləri oxutmaqla agenti zəbt etmək mümkündür.

Pillar Security tərəfindən təqdim edilən məlumatlara görə, zəiflik 6 yanvarda Google-a bildirildi və 28 fevralda istifadəçilərə çatdırılan düzəlişlə aradan qaldırıldı. Google, tədqiqatçının kəşfinə görə mükafat da təqdim etdi.

Agent əsaslı AI sistemlərindəki təhlükə

Lisichkin qeyd etdi ki, bu tip prompt inyeksiyası zəifliyi digər kodlaşdırma AI agentlərində də (məsələn, Cursor) aşkar edilmişdir. AI dövründə, təsdiqlənməmiş hər hansı bir giriş təhlükəli prompta çevrilərək daxili sistemlərin ələ keçirilməsinə səbəb ola bilər.

"Təhlükəsizlik fərziyyələrinə əsaslanan etimad modeli — insanın şübhəli hərəkəti tutacağına inam — avtonom agentlərin xarici məzmundan gələn göstərişləri yerinə yetirdiyi vaxt etibarlı deyil."
— Dan Lisichkin

Bu zəifliyin Secure Mode rejimini tamamilə keçə bilməsi, kiber təhlükəsizlik sənayesinin "sənitizasiya əsaslı nəzarətlərdən" uzaqlaşması və yeni təhlükəsizlik strategiyalarına keçməsi gərəkdiyini göstərir.

"Shell əmri ilə nəticələnən hər bir native alət parametri potensial inyeksiyon nöqtəsidir. Bu tip zəifliklərin yoxlanılması artıq məcburi hesab edilməli və agent əsaslı xüsusiyyətlərin təhlükəsiz şəkildə istifadəsi üçün əsas şərtlərdən biridir."
— Dan Lisichkin

Məlumatın ilk dəfə CyberScoop saytında dərc edilməsi barədə məlumat verilib.