Уязвимость в Antigravity от Google позволяет обойти защиту и выполнить произвольный код

В условиях растущего внедрения агентных AI-систем в бизнес-процессы и IT-инфраструктуру, исследователи продолжают выявлять критические уязвимости в коммерческих моделях. На этой неделе специалисты из компании Pillar Security сообщили об обнаруженной ими уязвимости в инструменте Antigravity — AI-ассистенте для работы с файловой системой, разработанном Google.

Обнаруженный дефект, уже устранённый разработчиком, позволял злоумышленникам использовать командную инъекцию в сочетании с возможностью создания файлов, чтобы получить удалённый доступ к выполнению произвольного кода на уязвимой системе.

Как отмечают эксперты, уязвимость позволяла обходить режим Secure Mode — наивысший уровень безопасности Google для AI-агентов, который ограничивает выполнение команд в изолированной среде, контролирует сетевой доступ и запрещает запись кода за пределами рабочей директории.

По словам Дэна Лисичкина, ведущего специалиста по кибербезопасности AI из Pillar Security, ключевую роль в атаке сыграл инструмент «find_by_name» — системный инструмент, классифицированный как «нативный». Это означает, что AI-агент может выполнять его напрямую, не дожидаясь проверки со стороны Secure Mode.

«Защитные механизмы Secure Mode просто не видят этот вызов. В результате атакующий получает возможность выполнения произвольного кода даже в конфигурации, которую пользователь считает полностью защищённой», — заявил Лисичкин.

Атаки на основе prompt injection могут осуществляться через скомпрометированные учётные записи, подключённые к агенту, либо опосредованно — путём внедрения скрытых инструкций в файлы с открытым исходным кодом или веб-контент, которые AI обрабатывает. Antigravity не способен корректно различать контекстные данные и прямые команды, что позволяет злоумышленникам обойти защиту без необходимости наличия повышенных привилегий.

Согласно опубликованному Pillar Security графику, уязвимость была сообщена в Google 6 января 2025 года и исправлена 28 февраля того же года. За обнаружение бага компания выплатила вознаграждение в рамках программы поощрения за найденные уязвимости.

Лисичкин подчеркнул, что аналогичные атаки через невалидированные входные данные ранее были выявлены в других AI-агентах для программирования, таких как Cursor. В эпоху автономных AI-систем любые необработанные данные могут стать потенциальным вектором для компрометации внутренних систем.

«Модель доверия, предполагающая, что человек сможет заметить подозрительную активность, не работает, когда автономные агенты следуют инструкциям из внешних источников», — заявил эксперт.

Тот факт, что уязвимость смогла полностью обойти Secure Mode, подчёркивает необходимость пересмотра подходов к кибербезопасности. По мнению Лисичкина, отрасль должна перейти от традиционных методов фильтрации к более надёжным решениям.

«Любой параметр нативного инструмента, передаваемый в командную оболочку, является потенциальной точкой инъекции. Проверка на наличие таких уязвимостей больше не является опциональной — это обязательное условие для безопасного внедрения агентных AI-технологий», — заявил он.