Knapp eine Woche nachdem Google Antigravity, seine „Agent-First“-Integrated Development Environment (IDE), auf den Markt gebracht hat, haben Sicherheitsforscher gezeigt, wie die Autonomie des Tools zu einer Waffe gemacht werden kann.
Ein neuer Bericht zeigt, dass Angreifer durch indirekte Prompt-Injection Anmeldeinformationen stehlen können, indem sie genau die Agenten manipulieren, die die Produktivität steigern sollen.
PromptArmor, ein Sicherheitsforschungsunternehmen, hat herausgefunden, dass die Schwachstelle die Standardeinstellungen von Antigravity ausnutzt. Durch das Ausblenden von Anweisungen in 1-Punkt-Schriftart auf einer Webseite können Angreifer die KI zwingen, den Dateischutz mithilfe von Systembefehlen zu umgehen und Geheimnisse auf eine öffentliche Protokollierungsseite zu exfiltrieren.
Trotz der Schwere stuft Google diese Verhaltensweisen als „beabsichtigt“ ein und lässt Unternehmenscodebasen offen. Diese Ergebnisse verdeutlichen eine kritische Lücke zwischen der Vermarktung von „Begründungsmodellen“ und der Realität ihrer standardmäßigen Sicherheitslage.
Das „tödliche Trifecta“: Anatomie des Angriffs
Die Ausbeutung beginnt mit einer „vergifteten“ Webquelle, beispielsweise einem Integrationsleitfaden eines Drittanbieters, der bösartige Anweisungen enthält. Angreifer verbergen die Eingabeaufforderungsinjektion in 1-Punkt-Schriftart in der Quelle, wodurch sie für menschliche Entwickler unsichtbar, für das Gemini-Modell jedoch lesbar ist.
Nach der Aufnahme weist die injizierte Eingabeaufforderung den Agenten an, vertrauliche Anmeldeinformationen und Codeausschnitte aus der lokalen Umgebung des Benutzers zu sammeln. Gemini erkennt korrekt, dass die.env-Zieldatei in.gitignore aufgeführt ist und verweigert zunächst den Zugriff auf der Grundlage standardmäßiger Sicherheitsprotokolle.
Die Autonomie des Agenten ermöglicht es ihm jedoch, diese Einschränkung außer Kraft zu setzen. Der „Argumentation“ des Angreifers folgend, umgeht es die Lesebeschränkung, indem es den Systembefehl cat im Terminal ausführt, um Dateiinhalte auf der Standardausgabe auszugeben. Der PromptArmor-Bericht beschreibt den Mechanismus:
„Gemini beschließt, diesen Schutz zu umgehen, indem es den Terminalbefehl ‚cat‘ verwendet, um den Dateiinhalt zu sichern, anstatt die integrierte Funktion zum Lesen von Dateien zu verwenden, die blockiert wurde.“
Eine solche Umgehung zeigt, wie einfach Standardschutzmaßnahmen von einem Agenten mit Zugriff auf Systemebene abgebaut werden können. In der Sicherheitsanalyse heißt es: „Gemini umgeht seine eigene Einstellung, um Zugriff zu erhalten und anschließend diese Daten zu exfiltrieren.“
Nach dem Zugriff auf die Anmeldeinformationen kodiert der Agent die gestohlenen Daten in eine URL-Zeichenfolge. PromptArmor fasst die gesamte Angriffskette zusammen:
„… eine vergiftete Webquelle (ein Integrationsleitfaden) kann Gemini manipulieren, um (a) vertrauliche Anmeldeinformationen und Code aus dem Arbeitsbereich des Benutzers zu sammeln und (b) diese Daten zu exfiltrieren, indem ein Browser-Subagent verwendet wird, um zu einer bösartigen Website zu navigieren.“
Schließlich beinhaltet der Angriff das Senden der Daten an webhook.site, einen öffentlichen Anforderungsprotokollierungsdienst. Die Exfiltration ist nur möglich, weil webhook.site aus unerklärlichen Gründen in der Standard-Browser-URL-Zulassungsliste von Antigravity enthalten ist. Die Forscher heben diesen Konfigurationsfehler hervor:
„Die von Antigravity bereitgestellte Standard-Zulassungsliste enthält jedoch ‚webhook.site‘. Webhook.site ermöglicht es jedem, eine URL zu erstellen, über die er Anfragen an die überwachen kann.“ URL.”
Durch die Aufnahme einer solchen Domain in eine Standard-Zulassungsliste wird der Netzwerkausgangsschutz effektiv aufgehoben, sodass Daten die lokale Umgebung verlassen können, ohne Warnungen auszulösen.
Richtlinie vs. Realität: Googles „beabsichtigtes Verhalten“-Haltung
PromptArmor weicht bei diesen Ergebnissen vom standardmäßigen 90-Tage-Fenster für die verantwortungsvolle Offenlegung ab. Zur Begründung dieser Entscheidung verwies das Unternehmen auf Googles frühere Einstufung ähnlicher Meldungen als „beabsichtigtes Verhalten“ und nicht als Sicherheitsmängel.
Den Forschern zufolge „hat Google angegeben, dass sie sich der Datenexfiltrationsrisiken bereits bewusst sind, wie unsere Forschung zeigt, wir haben keine verantwortungsvolle Offenlegung vorgenommen.“
Zwischen Sicherheitsexperten und Google besteht eine grundsätzliche Meinungsverschiedenheit hinsichtlich des akzeptablen Risikoprofils von Agententools.
Offizielle Dokumentation unterstützt die Einschätzung von PromptArmor Die Richtlinien von Google. Die Bug Hunters-Plattform von Google listet explizit „Antigravity-Agent hat Zugriff auf Dateien“ und „Berechtigung zum Ausführen von Befehlen“ als ungültige Berichtstypen auf. In der offiziellen Richtlinie heißt es:
„Antigravity-Agent hat Zugriff auf Dateien“ […] „Antigravity-Agent hat die Berechtigung, Befehle auszuführen“
Eine solche „Wontfix“-Haltung steht im Widerspruch zum Narrativ rund um den Start von Antigravity IDE, bei dem Führungskräfte Gemini 3 Pro als hochentwickelte Argumentationsmaschine positionierten, die zur Lösung komplexer Probleme fähig ist.
Sekundärergebnisse anderer Forscher bestätigen die Risiken. Der Sicherheitsforscher „wunderwuzzi23“ (Embrace The Red) identifizierte Risiken bei der Ausführung von Remotebefehlen, die über den browserbasierten Angriffsvektor hinausgehen.
PromptArmor stellte außerdem fest, dass die Schwachstellen nicht auf bestimmte Konfigurationen beschränkt sind. Das Team stellte fest, dass die Schwachstellen nicht auf bestimmte Konfigurationen beschränkt seien: „Wir haben drei weitere Schwachstellen bei der Datenexfiltration gefunden, die nicht auf der Aktivierung der Browser-Tools beruhten.“
Das Agenten-Dilemma: Produktivität vs. Sicherheit
Branchenführer haben Schwierigkeiten, das reibungslose Versprechen einer „Agent-First“-Entwicklung mit der Notwendigkeit strenger Sicherheitsgrenzen in Einklang zu bringen. Antigravity wird mit „Agent Decides“ als Standard-Überprüfungsrichtlinie ausgeliefert, wodurch der Mensch für die meisten Aktionen effektiv aus der Schleife genommen wird.
Verschärft wird das Problem durch eine „Terminal Command Auto Execution“-Richtlinie, die es dem Agenten ermöglicht, Systembefehle wie cat oder curl ohne Benutzerbestätigung auszuführen. Diese Standardvorgaben priorisieren Geschwindigkeit vor Sicherheit und schaffen so eine Umgebung, die zur Ausnutzung anfällig ist.
Die Sicherheitsexperten beschreiben dies als „tödliches Trifecta“ von Risikofaktoren. Es bestehen Sicherheitslücken, weil der Agent gleichzeitig Zugriff auf nicht vertrauenswürdige Eingaben (das Web), private Daten (die Codebasis) und externe Kommunikation (das Internet) hat.
Das tödliche Trifecta-Konzept unterstreicht, dass die Datenexfiltration ohne strikte Isolierung fast unvermeidlich wird, wenn alle drei Bedingungen erfüllt sind.
Während Tools wie Cursor und Windsurf ähnlichen theoretischen Risiken ausgesetzt sind, ist Antigravity aufgrund seiner freizügigen Standard-Zulassungsliste besonders anfällig für eine sofortige Exfiltration. Andere Plattformen erfordern in der Regel eine explizite Benutzergenehmigung für Netzwerkanfragen an neue Domänen.
Von Experten vorgeschlagene Abhilfestrategien legen nahe, dass „YOLO-Modus“-Agenten, die alle Sicherheitsprüfungen deaktivieren, in virtuellen Maschinen (VMs) mit Firewall isoliert werden müssen, anstatt direkt auf dem Host-Betriebssystem ausgeführt zu werden.
Ohne solche Maßnahmen können diese Erkenntnisse die Einführung autonomer Codierungstools in Unternehmen behindern, bis Anbieter standardmäßig eine strikte Netzwerkausgangsfilterung und Sandboxing implementieren.
