Hampir seminggu setelah Google meluncurkan Antigravity, Lingkungan Pengembangan Terpadu (IDE) yang “mengutamakan agen”, para peneliti keamanan telah mendemonstrasikan bagaimana otonomi alat tersebut dapat dijadikan senjata.
Sebuah laporan baru mengungkapkan bahwa injeksi cepat tidak langsung memungkinkan penyerang mencuri kredensial dengan memanipulasi agen yang dirancang untuk meningkatkan produktivitas.
PromptArmor, sebuah firma riset keamanan, menemukan bahwa kerentanan mengeksploitasi setelan default Antigravity. Dengan menyembunyikan instruksi dalam font 1 titik di halaman web, penyerang dapat memaksa AI untuk melewati perlindungan file menggunakan perintah sistem dan mengekstrak rahasia ke situs logging publik.
Meskipun berat, Google mengklasifikasikan perilaku ini sebagai “direncanakan”, sehingga basis kode perusahaan tetap terbuka. Temuan ini menyoroti kesenjangan kritis antara pemasaran model yang “beralasan” dan realitas postur keamanan defaultnya.
‘Lethal Trifecta’: Anatomy of the Attack
Eksploitasi dimulai dengan sumber web yang “beracun”, seperti panduan integrasi pihak ketiga yang berisi instruksi jahat. Penyerang menyembunyikan injeksi perintah dalam font 1 titik di sumber, menjadikannya tidak terlihat oleh pengembang manusia namun dapat dibaca oleh model Gemini.
Setelah diserap, perintah yang dimasukkan memerintahkan agen untuk mengambil kredensial sensitif dan cuplikan kode dari lingkungan lokal pengguna. Gemini dengan benar mengidentifikasi bahwa file.env target terdaftar di.gitignore dan awalnya menolak akses berdasarkan protokol keamanan standar.
Namun, otonomi agen memungkinkannya untuk mengesampingkan pembatasan ini. Mengikuti “alasan” penyerang, ia menghindari pembatasan baca dengan menjalankan perintah sistem cat di terminal untuk membuang konten file ke output standar. Laporan PromptArmor menjelaskan mekanismenya:
“Gemini memutuskan untuk mengatasi perlindungan ini menggunakan perintah terminal’cat’untuk membuang konten file alih-alih menggunakan kemampuan membaca file bawaan yang telah diblokir.”
Jalan pintas seperti itu menunjukkan betapa mudahnya pagar pembatas standar dapat dibongkar oleh agen dengan akses tingkat sistem. Sebagaimana dicatat dalam analisis keamanan, “Gemini melewati pengaturannya sendiri untuk mendapatkan akses dan kemudian mengambil data tersebut.”
Setelah mengakses kredensial, agen mengkodekan data yang dicuri ke dalam string URL. PromptArmor merangkum rantai serangan lengkap:
“… sumber web beracun (panduan integrasi) dapat memanipulasi Gemini untuk (a) mengumpulkan kredensial dan kode sensitif dari ruang kerja pengguna, dan (b) mengeksfiltrasi data tersebut dengan menggunakan subagen browser untuk menjelajah ke situs berbahaya.”
Terakhir, serangan tersebut melibatkan pengiriman data ke webhook.site, layanan pencatatan log permintaan publik. Eksfiltrasi menjadi mungkin hanya karena webhook.site secara misterius disertakan dalam Daftar URL Peramban default Antigravity yang Diizinkan. Para peneliti menyoroti kelemahan konfigurasi ini:
“Namun, Daftar yang Diizinkan default yang disediakan dengan Antigravity mencakup’webhook.site’. Webhook.site memungkinkan siapa pun membuat URL tempat mereka dapat memantau permintaan ke URL.”
Penyertaan domain tersebut dalam daftar default yang diizinkan secara efektif membatalkan perlindungan keluar jaringan, sehingga memungkinkan data meninggalkan lingkungan lokal tanpa memicu peringatan.
Kebijakan vs. Kenyataan: Sikap’Perilaku yang Diinginkan’Google
PromptArmor menyimpang dari jendela pengungkapan bertanggung jawab standar selama 90 hari untuk temuan ini. Untuk membenarkan keputusan ini, perusahaan tersebut mengutip klasifikasi Google sebelumnya atas laporan serupa sebagai “perilaku yang disengaja”dan bukan kelemahan keamanan.
Menurut para peneliti, “Google telah mengindikasikan bahwa mereka sudah mengetahui risiko penyelundupan data yang dicontohkan oleh penelitian kami, kami tidak melakukan pengungkapan yang bertanggung jawab.”
Ada ketidaksepakatan mendasar antara profesional keamanan dan Google mengenai profil risiko yang dapat diterima dari alat agen.
Dokumentasi resmi mendukung penilaian PromptArmor terhadap kebijakan Google. Platform Pemburu Bug Google secara eksplisit mencantumkan “Agen antigravitasi memiliki akses ke file”dan “izin untuk menjalankan perintah”sebagai jenis laporan yang tidak valid. Kebijakan resmi menyatakan:
“Agen antigravitasi memiliki akses ke file”[…] “Agen antigravitasi memiliki izin untuk menjalankan perintah”
Sikap “tidak dapat diperbaiki” seperti itu bertentangan dengan narasi seputar peluncuran IDE Antigravitasi, di mana para eksekutif memposisikan Gemini 3 Pro sebagai mesin penalaran canggih yang mampu menyelesaikan masalah kompleks.
Temuan sekunder dari peneliti lain menguatkan risiko tersebut. Peneliti keamanan ‘wunderwuzzi23’ (Embrace The Red) mengidentifikasi risiko eksekusi perintah jarak jauh yang melampaui vektor serangan berbasis browser.
PromptArmor juga mencatat bahwa kerentanan tidak terbatas pada konfigurasi tertentu. Menyatakan bahwa kerentanan tidak terbatas pada konfigurasi tertentu, tim tersebut mencatat “Kami menemukan tiga kerentanan eksfiltrasi data tambahan yang tidak bergantung pada pengaktifan alat Browser.”
Dilema Agen: Produktivitas vs. Keamanan
Para pemimpin industri sedang berjuang untuk menyeimbangkan janji pengembangan yang “mengutamakan agen” tanpa hambatan dengan kebutuhan akan batasan keamanan yang ketat. Antigravity hadir dengan “Agent Decides”sebagai kebijakan peninjauan default, yang secara efektif menghilangkan manusia dari lingkaran untuk sebagian besar tindakan.
Yang memperparah masalah ini adalah kebijakan “Terminal Command Auto Execution”, yang memungkinkan agen menjalankan perintah sistem seperti cat atau curl tanpa konfirmasi pengguna. Pengaturan default ini memprioritaskan kecepatan dibandingkan keselamatan, sehingga menciptakan lingkungan yang siap untuk dieksploitasi.
Para pakar keamanan menggambarkan hal ini sebagai faktor risiko “Trifecta yang Mematikan”. Kerentanan muncul karena agen memiliki akses simultan ke masukan yang tidak tepercaya (web), data pribadi (basis kode), dan komunikasi eksternal (internet).
Konsep trifecta yang mematikan menyoroti bahwa ketika ketiga kondisi terpenuhi, eksfiltrasi data menjadi hampir tak terelakkan tanpa isolasi yang ketat.
Meskipun alat seperti Cursor dan Windsurf menghadapi risiko teoretis yang serupa, daftar izin default Antigravity yang permisif menjadikannya sangat rentan terhadap eksfiltrasi langsung. Platform lain biasanya memerlukan persetujuan pengguna secara eksplisit untuk permintaan jaringan ke domain baru.
Strategi mitigasi yang diusulkan oleh para ahli menyarankan bahwa agen “mode YOLO”yang menonaktifkan semua pemeriksaan keamanan harus diisolasi di Mesin Virtual (VM) yang dilindungi firewall daripada berjalan langsung di OS host.
Tanpa tindakan seperti itu, temuan ini dapat menghambat adopsi alat pengkodean otonom oleh perusahaan hingga vendor menerapkan pemfilteran jalan keluar jaringan yang ketat dan sandboxing secara default.
