Виявлена вразливість у системі кодування Google Antigravity AI
Створіть обліковий запис, щоб зберегти свої статті.Додати в GoogleДодайте Decrypt як ваше вибране джерело, щоб бачити більше наших історій у Google.
Ключові моменти
- Дослідники виявили вразливість до ін’єкцій команд (prompt injection) у платформі кодування Google Antigravity AI.
- Цей дефект потенційно дозволяв зловмисникам виконувати команди навіть за увімкненого режиму безпеки платформи.
- Google усунув проблему 28 лютого після її розкриття дослідниками у січні, за даними Pillar Security.
Компанія Google випустила виправлення для вразливості у своїй платформі кодування Antigravity AI. Дослідники зазначають, що цей дефект міг дозволити зловмисникам виконувати команди на машині розробника за допомогою атаки типу “ін’єкція команд” (prompt injection).
Згідно зі звітом кібербезпекової компанії Pillar Security, проблема стосувалася інструменту пошуку файлів Antigravity під назвою find_by_name. Цей інструмент передавав введені користувачем дані безпосередньо до базової утиліти командного рядка без належної валідації. Це дозволило зловмисникам перетворити шкідливий ввід на завдання з виконання команди, що потенційно призводило до віддаленого виконання коду (RCE).
«У поєднанні зі здатністю Antigravity створювати файли як дозволену дію, це створює повний ланцюг атаки: підготовка шкідливого скрипта, а потім його активація через, здавалося б, легітимний пошук, і все це без додаткової взаємодії з користувачем після успішної ін’єкції команди», — пишуть дослідники Pillar Security.
Antigravity, запущений минулого листопада, є середовищем розробки Google на базі штучного інтелекту (ШІ), призначеним для допомоги програмістам у написанні, тестуванні та управлінні кодом за допомогою автономних програмних агентів. Pillar Security повідомила про проблему Google 7 січня, і того ж дня Google підтвердив отримання звіту, позначивши проблему як виправлену 28 лютого.
Google не надав негайного коментаря на запит видання Decrypt.
Атаки типу “ін’єкція команд” виникають, коли приховані інструкції, вбудовані в контент, спонукають систему ШІ виконувати ненавмисні дії. Оскільки інструменти ШІ часто обробляють зовнішні файли або текст як частину нормальних робочих процесів, система може інтерпретувати ці інструкції як легітимні команди, дозволяючи зловмиснику ініціювати дії на машині користувача без прямого доступу або додаткової взаємодії.
Загроза ін’єкцій команд для великих мовних моделей (LLM) знову стала актуальною минулого літа, коли розробник ChatGPT OpenAI попередив, що його новий агент ChatGPT може бути скомпрометований.
«Коли ви підключаєте агента ChatGPT до вебсайтів або вмикаєте конектори, він зможе отримати доступ до конфіденційних даних із цих джерел, таких як електронні листи, файли або інформація про обліковий запис», — писала OpenAI у своєму блозі.
Щоб продемонструвати проблему Antigravity, дослідники створили тестовий скрипт у робочій області проєкту та активували його через інструмент пошуку. Після виконання скрипт відкрив програму калькулятора на комп’ютері, що свідчить про можливість перетворення функції пошуку на механізм виконання команд.
«Важливо зазначити, що ця вразливість обходить Secure Mode Antigravity, найбільш обмежувальну конфігурацію безпеки продукту», — йдеться у звіті.
Ці висновки підкреслюють ширшу проблему безпеки, з якою стикаються інструменти розробки на базі ШІ, коли вони починають виконувати завдання автономно. У контексті Web3, де децентралізовані обчислення та ШІ-агенти стають все більш інтегрованими, подібні вразливості наголошують на необхідності надійної безпеки смарт-контрактів та децентралізованих систем, що взаємодіють із ШІ.
«Галузь повинна перейти від контролю, заснованого на санітарній обробці, до ізоляції виконання. Кожен параметр нативного інструменту, який досягає команди оболонки, є потенційною точкою впровадження», — зазначає Pillar Security. «Аудит такого класу вразливостей більше не є опціональним, а є передумовою для безпечного впровадження функцій агентів».
Погляд Crypto Top: Ця інцидент підкреслює критичну потребу в безпеці ШІ-систем, особливо тих, що взаємодіють із блокчейном, де ціна помилки може бути значно вищою. Інтеграція ШІ-агентів у Web3 потребуватиме нових стандартів безпеки, що виходять за рамки традиційних методів, можливо, з використанням криптографічних доказів для автентифікації дій ШІ.
Джерело: decrypt.co