Apenas una semana después de que Google lanzara Antigravity, su entorno de desarrollo integrado (IDE)”primero el agente”, los investigadores de seguridad han demostrado cómo se puede convertir la autonomía de la herramienta en un arma.
Un nuevo informe revela que la inyección indirecta permite a los atacantes robar credenciales manipulando los mismos agentes diseñados para aumentar la productividad.
PromptArmor, una empresa de investigación de seguridad, descubrió que la vulnerabilidad explota la configuración predeterminada de Antigravity. Al ocultar las instrucciones en fuente de 1 punto en una página web, los atacantes pueden obligar a la IA a eludir las protecciones de archivos mediante comandos del sistema y filtrar secretos a un sitio de registro público.
A pesar de la gravedad, Google clasifica estos comportamientos como”intencionados”, dejando expuestas las bases de código empresarial. Estos hallazgos resaltan una brecha crítica entre el marketing de modelos de”razonamiento”y la realidad de su postura de seguridad predeterminada.
La’Trifecta letal’: anatomía del ataque
La explotación comienza con una fuente web”envenenada”, como una guía de integración de terceros que contiene instrucciones maliciosas. Los atacantes ocultan la inyección del mensaje en fuente de 1 punto en la fuente, haciéndolo invisible para los desarrolladores humanos pero legible para el modelo Gemini.
Una vez ingerido, el mensaje inyectado le indica al agente que recopile credenciales confidenciales y fragmentos de código del entorno local del usuario. Gemini identifica correctamente que el archivo.env de destino figura en.gitignore e inicialmente rechaza el acceso basándose en protocolos de seguridad estándar.
Sin embargo, la autonomía del agente le permite anular esta restricción. Siguiendo el”razonamiento”del atacante, elude la restricción de lectura ejecutando el comando cat del sistema en la terminal para volcar el contenido del archivo a la salida estándar. El informe PromptArmor describe el mecanismo:
“Gemini decide solucionar esta protección usando el comando de terminal’cat’para volcar el contenido del archivo en lugar de usar su capacidad incorporada de lectura de archivos que ha sido bloqueada”.
Tal omisión demuestra con qué facilidad un agente con acceso a nivel de sistema puede desmantelar las barreras de seguridad estándar. Como señala el análisis de seguridad,”Gemini omite su propia configuración para obtener acceso y posteriormente exfiltrar esos datos”.
Después de acceder a las credenciales, el agente codifica los datos robados en una cadena URL. PromptArmor resume la cadena de ataque completa:
“… una fuente web envenenada (una guía de integración) puede manipular a Gemini para (a) recopilar credenciales y códigos confidenciales del espacio de trabajo del usuario y (b) extraer esos datos mediante el uso de un subagente del navegador para navegar a un sitio malicioso”.
Finalmente, el ataque implica enviar los datos a webhook.site, un servicio público de registro de solicitudes. La exfiltración es posible solo porque webhook.site está incluido inexplicablemente en la Lista de URL permitidas predeterminada del navegador de Antigravity. Los investigadores resaltan esta falla de configuración:
“Sin embargo, la lista de permitidas predeterminada proporcionada con Antigravity incluye ‘webhook.site’. Webhook.site permite que cualquiera cree una URL donde pueda monitorear solicitudes a la URL.”
La inclusión de dicho dominio en una lista de permitidos predeterminada anula efectivamente las protecciones de salida de la red, lo que permite que los datos abandonen el entorno local sin activar alertas.
Política vs. Realidad: postura de”comportamiento previsto”de Google
PromptArmor se desvió de la ventana estándar de divulgación responsable de 90 días para estos hallazgos. Para justificar esta decisión, la firma citó la clasificación previa de Google de informes similares como”comportamiento previsto”en lugar de fallas de seguridad.
Según los investigadores,”Google ha indicado que ya son conscientes de los riesgos de filtración de datos ejemplificados por nuestra investigación, no realizamos una divulgación responsable”.
Existe un desacuerdo fundamental entre los profesionales de seguridad y Google con respecto al perfil de riesgo aceptable de las herramientas agentes.
La documentación oficial respalda la evaluación de PromptArmor de La política de Google. La plataforma Bug Hunters de Google enumera explícitamente”El agente Antigravity tiene acceso a archivos”y”permiso para ejecutar comandos”como tipos de informes. La política oficial establece:
“El agente Antigravity tiene acceso a los archivos”[…] “El agente Antigravity tiene permiso para ejecutar comandos”
Esta postura de “no arreglar” choca con la narrativa que rodea el lanzamiento de Antigravity IDE, donde los ejecutivos posicionaron a Gemini 3 Pro como un sofisticado motor de razonamiento capaz de resolver problemas complejos.
Los hallazgos secundarios de otros investigadores corroboran los riesgos. El investigador de seguridad’wunderwuzzi23′(Embrace The Red) identificó riesgos de ejecución remota de comandos que se extienden más allá del vector de ataque basado en navegador.
PromptArmor también señaló que las vulnerabilidades no se limitan a configuraciones específicas. Al afirmar que las vulnerabilidades no se limitan a configuraciones específicas, el equipo señaló:”Encontramos tres vulnerabilidades adicionales de filtración de datos que no dependían de que las herramientas del navegador estuvieran habilitadas”.
El dilema agente: productividad versus seguridad
Los líderes de la industria están luchando por equilibrar la promesa sin fricciones del desarrollo”primero el agente”con la necesidad de límites de seguridad rígidos. Antigravity viene con”El agente decide”como política de revisión predeterminada, lo que elimina efectivamente al ser humano del ciclo para la mayoría de las acciones.
Para agravar el problema está una política de”Ejecución automática de comandos de terminal”, que permite al agente ejecutar comandos del sistema como cat o curl sin la confirmación del usuario. Estos valores predeterminados priorizan la velocidad sobre la seguridad, creando un entorno propicio para la explotación.
Los expertos en seguridad describen esto como una”tríada letal”de factores de riesgo. Las vulnerabilidades existen porque el agente tiene acceso simultáneo a entradas no confiables (la web), datos privados (el código base) y comunicación externa (Internet).
El concepto de trifecta letal destaca que cuando se cumplen las tres condiciones, la filtración de datos se vuelve casi inevitable sin un aislamiento estricto.
Si bien herramientas como Cursor y Windsurf enfrentan riesgos teóricos similares, la permisiva lista de permitidos por defecto de Antigravity lo hace excepcionalmente susceptible a la filtración inmediata. Otras plataformas generalmente requieren la aprobación explícita del usuario para las solicitudes de red a nuevos dominios.
Las estrategias de mitigación propuestas por expertos sugieren que los agentes en “modo YOLO” que desactivan todas las comprobaciones de seguridad deben aislarse en máquinas virtuales (VM) con firewall en lugar de ejecutarse directamente en el sistema operativo host.
Sin tales medidas, estos hallazgos pueden frenar la adopción empresarial de herramientas de codificación autónomas hasta que los proveedores implementen un filtrado estricto de salida de red y un entorno de pruebas de forma predeterminada.
