Vulnerabilidade crítica no Antigravity da Google permite execução remota de código

Pesquisadores identificam vulnerabilidade no Antigravity da Google

À medida que empresas adotam agentes de IA para suas operações de negócios e TI, pesquisadores continuam identificando falhas em modelos comerciais que ampliam a superfície de ataque. Nesta semana, a Pillar Security revelou uma vulnerabilidade no Antigravity, ferramenta de IA da Google para operações de sistema de arquivos.

Como o ataque funcionava

O bug, já corrigido pela Google, combinava injeção de prompt com a capacidade de criação de arquivos do Antigravity, permitindo que invasores obtivessem privilégios de execução remota de código.

O exploit conseguia contornar o modo seguro do Antigravity, a configuração de segurança máxima da Google para seus agentes. Essa função executa todas as operações de comando em um ambiente sandbox virtual, limita o acesso à rede e proíbe a escrita de código fora do diretório de trabalho.

Falha no mecanismo de proteção

O modo seguro foi projetado para restringir o acesso dos agentes de IA a sistemas sensíveis e impedir ações maliciosas por meio de comandos shell. No entanto, uma ferramenta de busca do Antigravity, chamada “find_by_name”, é classificada como uma ferramenta nativa do sistema. Isso permite que o agente a execute diretamente, antes que proteções como o modo seguro possam avaliar as operações.

“A fronteira de segurança imposta pelo modo seguro simplesmente nunca detecta essa chamada. Isso significa que um invasor obtém execução arbitrária de código na mesma configuração que um usuário cauteloso confiaria para prevenir isso.”

Mecanismo de ataque e impacto

A injeção de prompt pode ser entregue por meio de contas de identidade comprometidas conectadas ao agente ou indiretamente por instruções ocultas em arquivos de código aberto ou conteúdo web que o agente consome. O Antigravity tem dificuldade em distinguir entre dados escritos para contexto e instruções literais de prompt, permitindo que invasores obtenham acesso sem privilégios elevados.

Cronograma e correção

Segundo a Pillar Security, a vulnerabilidade foi relatada à Google em 6 de janeiro e corrigida em 28 de fevereiro, com a empresa concedendo uma recompensa por bug bounty pela descoberta.

Riscos em agentes de IA comerciais

Lisichkin destacou que esse mesmo padrão de injeção de prompt por meio de entrada não validada foi encontrado em outros agentes de IA de codificação, como o Cursor. Em um cenário de IA autônoma, qualquer entrada não validada pode se tornar um prompt malicioso capaz de sequestrar sistemas internos.

“O modelo de confiança que sustenta as suposições de segurança, de que um humano detectará algo suspeito, não se sustenta quando agentes autônomos seguem instruções de conteúdo externo.”

Adaptação necessária na segurança cibernética

A capacidade da vulnerabilidade de contornar completamente o modo seguro da Google evidencia a necessidade de a indústria de cibersegurança ir além dos controles baseados em sanitização.

“Cada parâmetro de ferramenta nativa que chega a um comando shell é um potencial ponto de injeção. Auditar essa classe de vulnerabilidade não é mais opcional e é um pré-requisito para lançar recursos de agentes com segurança.”

Conclusão

A descoberta reforça os riscos associados à adoção de agentes de IA comerciais sem avaliações rigorosas de segurança. Empresas devem priorizar auditorias e validações de entrada para evitar explorações semelhantes.