Une faille critique dans l'outil Antigravity de Google permet l'exécution de code à distance

Une faille dans Antigravity contourne le mode sécurisé de Google

Alors que les entreprises intègrent de plus en plus d'agents d'IA autonomes dans leurs infrastructures, les vulnérabilités découvertes dans ces outils soulèvent des questions majeures sur leur sécurité. Cette semaine, des chercheurs de Pillar Security ont révélé une faille critique dans Antigravity, un outil développé par Google pour automatiser des opérations sur les systèmes de fichiers.

Identifiée et corrigée depuis, cette vulnérabilité combinait une injection de prompts avec une capacité native d'Antigravity à créer des fichiers. Résultat : une exécution de code à distance pour les attaquants, malgré le mode sécurisé activé.

Comment la faille a contourné les protections

Le mode sécurisé d'Antigravity, conçu pour limiter l'accès des agents IA aux systèmes sensibles, impose des restrictions strictes : exécution des commandes dans un bac à sable virtuel, limitation de l'accès réseau et interdiction d'écrire du code en dehors du répertoire de travail. Pourtant, la faille a exploité un outil natif de recherche de fichiers, find_by_name, classé comme un outil système.

Contrairement aux commandes standard, cet outil peut être exécuté directement par l'agent, avant même que le mode sécurisé ne puisse évaluer son niveau de danger. Dan Lisichkin, chercheur en sécurité IA chez Pillar Security, explique :

« La frontière de sécurité imposée par le mode sécurisé n'a tout simplement jamais détecté cet appel. Un attaquant obtient ainsi une exécution arbitraire de code, même avec une configuration censée empêcher ce type d'attaque. »

Des attaques par injection de prompts via des sources externes

Les attaques par injection de prompts peuvent provenir de comptes compromis ou de fichiers tiers (documents open source, contenus web) que l'agent analyse. Antigravity peine à distinguer les données contextuelles des instructions malveillantes, permettant une compromission sans privilèges élevés.

Selon le calendrier de divulgation de Pillar Security, la faille a été signalée à Google le 6 janvier et corrigée le 28 février. Google a récompensé les chercheurs via son programme de primes aux bugs.

Un risque systémique pour les agents autonomes

Lisichkin souligne que cette faille n'est pas isolée : des vulnérabilités similaires ont été observées dans d'autres agents IA comme Cursor. Dans un environnement où les agents autonomes suivent des instructions automatiquement, toute entrée non validée peut devenir une menace.

« Le modèle de confiance selon lequel un humain détecte les anomalies ne tient plus lorsque les agents autonomes exécutent des instructions issues de contenus externes. »

La capacité de cette faille à contourner le mode sécurisé de Google met en lumière un enjeu majeur : les contrôles basés sur la sanitization ne suffisent plus.

« Chaque paramètre d'outil natif menant à une commande shell est un point d'injection potentiel. Auditer ces vulnérabilités n'est plus une option, mais une nécessité pour déployer des agents autonomes en toute sécurité », ajoute Lisichkin.

Recommandations pour les entreprises

Face à l'essor des agents IA, les experts appellent à une refonte des stratégies de sécurité :

• Valider systématiquement toutes les entrées externes avant leur traitement par les agents.
• Auditer les outils natifs utilisés par les agents pour identifier les points d'injection potentiels.
• Segmenter les accès** des agents IA pour limiter l'impact d'une compromission.
• Former les équipes** à reconnaître les risques liés aux agents autonomes.