- AntiGravity IDE permite a los agentes ejecutar comandos automáticamente bajo la configuración predeterminada
- Los ataques de inyección rápida pueden desencadenar la ejecución de código no deseado dentro del IDE
- La exfiltración de datos se produce mediante rebajas, invocación de herramientas o instrucciones ocultas.
El nuevo IDE AntiGravity de Google se lanzó con un diseño que prioriza la IA, pero ya muestra problemas que generan preocupaciones sobre las expectativas básicas de seguridad, advierten los expertos.
Los investigadores de PromptArmor descubrieron que el sistema permite que su agente de codificación ejecute comandos automáticamente cuando ciertas configuraciones predeterminadas están activas, creando oportunidades para comportamientos no deseados.
Si hay entradas que no son de confianza dentro de los archivos fuente u otro contenido procesado, el agente puede manipularse para ejecutar comandos que el usuario nunca pretendió.
Riesgos asociados con el acceso y la exfiltración de datos
El producto permite a los agentes realizar tareas a través de una terminal y, aunque existen salvaguardias, persisten algunas lagunas en el funcionamiento de esas comprobaciones.
Estas brechas crean espacio para ataques de inyección rápida que pueden ejecutar código no deseado cuando el agente sigue una entrada oculta u hostil.
La misma vulnerabilidad se aplica al manejo del acceso a archivos antigravedad.
El agente tiene la capacidad de leer y crear contenido, y esto incluye archivos que pueden contener credenciales o material confidencial del proyecto.
La exfiltración de datos es posible cuando se ocultan instrucciones maliciosas en Markdown, invocaciones de herramientas u otros formatos de texto.
Los atacantes pueden aprovechar estos canales para hacer que los agentes filtren archivos internos a ubicaciones controladas por los atacantes.
Ya se han recopilado registros de referencia que contienen credenciales de nube y código privado en demostraciones exitosas, lo que muestra la gravedad de estas brechas.
Google reconoce estos problemas y advierte a los usuarios durante la incorporación, pero dichas advertencias no compensan la posibilidad de que los agentes se ejecuten sin supervisión.
AntiGravity anima a los usuarios a adoptar configuraciones recomendadas que permitan al agente operar con una supervisión mínima.
La configuración deja las decisiones relativas a la revisión humana en manos del sistema, donde se requiere la aprobación del comando del terminal.
Los usuarios que trabajan con varios agentes a través de la interfaz de Agent Manager no pueden detectar comportamientos maliciosos antes de que se completen las acciones.
Este diseño mantiene toda la atención del usuario a pesar de que la interfaz claramente promueve operaciones en segundo plano.
Como resultado, las tareas sensoriales pueden quedar sin control y las simples advertencias visuales hacen poco para alterar la exposición subyacente.
Estas opciones socavan las expectativas típicamente asociadas con un firewall moderno o protección similar.
A pesar de las restricciones, pueden producirse fugas de certificados. El IDE está diseñado para evitar el acceso directo a los archivos enumerados en .gitignore, incluidos los archivos .env que almacenan variables confidenciales.
Sin embargo, el agente puede omitir esta capa utilizando un comando de terminal para imprimir el contenido del archivo, lo que efectivamente omite la política.
Después de recopilar los datos, el agente codifica las credenciales, las agrega a un dominio monitoreado y activa un subagente del navegador para completar la exfiltración.
El proceso ocurre rápidamente y rara vez es visible a menos que el usuario esté observando activamente las acciones del agente, que es poco probable que ejecute múltiples tareas en paralelo.
Estos problemas ilustran los riesgos que se crean cuando a las herramientas de IA se les otorga una amplia autonomía sin las correspondientes salvaguardias estructurales.
El diseño apunta a la conveniencia, pero la configuración actual brinda a los atacantes una influencia considerable mucho antes de que se puedan implementar defensas sólidas.
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
