Sicherheitslücke in Googles Antigravity: KI-Agenten umgehen Sandbox und ermöglichen Code-Ausführung

Sicherheitsforscher decken kritische Lücke in Googles Antigravity auf

Immer mehr Unternehmen setzen auf Agentic AI – autonome KI-Systeme, die eigenständig Aufgaben in IT-Infrastrukturen übernehmen. Doch mit dieser Technologie steigen auch die Sicherheitsrisiken. Forscher von Pillar Security entdeckten nun eine Schwachstelle in Antigravity, einem von Google entwickelten KI-Tool für Dateisystemoperationen, die es Angreifern ermöglichte, die Sandbox zu umgehen und Schadcode auszuführen.

Wie der Angriff funktionierte

Die Lücke kombinierte Prompt-Injection mit der erlaubten Dateierstellungsfunktion von Antigravity. Dadurch konnten Angreifer Remote-Code-Ausführung (RCE) erreichen – selbst in Googles höchster Sicherheitsstufe, dem Secure Mode.

Secure Mode sollte eigentlich verhindern, dass KI-Agenten gefährliche Befehle ausführen. Doch eine der verwendeten Dateisuche-Tools, „find_by_name“, gilt als „natives“ Systemtool. Das bedeutet, der Agent kann es direkt ausführen – noch bevor Secure Mode die Befehle überprüfen kann.

„Die Sicherheitsgrenze, die Secure Mode durchsetzt, sieht diesen Aufruf nie. Ein Angreifer erhält so beliebige Code-Ausführung – selbst in einer Konfiguration, die eigentlich als sicher gilt.“

Angriffsmethoden: Von kompromittierten Accounts bis zu manipulierten Dateien

Prompt-Injections können auf verschiedene Weise eingeschleust werden:

• Über kompromittierte Identitätskonten, die mit dem Agenten verbunden sind
• Durch versteckte Anweisungen in Open-Source-Dateien oder Webinhalten, die der Agent verarbeitet
• Durch manipulierte Dokumente, die der Agent als harmlosen Kontext einliest

Antigravity kann oft nicht zwischen harmlosem Inhalt und schädlichen Anweisungen unterscheiden – ein zentrales Problem bei vielen KI-Systemen.

Google reagiert – doch die Lücke zeigt grundsätzliche Risiken

Die Schwachstelle wurde am 6. Januar 2025 an Google gemeldet und am 28. Februar 2025 behoben. Google honorierte die Entdeckung mit einem Bug-Bounty.

Lisichkin warnt jedoch vor einer größeren Gefahr: „Das Vertrauensmodell, bei dem Menschen verdächtige Inhalte erkennen, versagt, wenn autonome Agenten Anweisungen aus externen Quellen blind befolgen.“

Gleiche Schwachstelle bei anderen KI-Agenten

Ähnliche Probleme wurden bereits bei anderen KI-Entwicklungstools wie Cursor festgestellt. Jede ungefilterte Eingabe kann zu einer gefährlichen Anweisung werden, die interne Systeme übernimmt.

Fazit: KI-Sicherheit muss neu gedacht werden

Die Lücke in Antigravity unterstreicht, dass traditionelle Sicherheitsmaßnahmen wie Sanitization nicht mehr ausreichen. Lisichkin betont: „Jeder Parameter eines nativen Tools, der Shell-Befehle erreicht, ist ein potenzieller Angriffspunkt. Eine Überprüfung dieser Schwachstellen ist kein optionaler Schritt mehr – sie ist Voraussetzung für sichere KI-Agenten.“