Chỉ một tuần sau khi Google ra mắt AntiGravity, Môi trường phát triển tích hợp (IDE) “tác nhân đầu tiên” của Google, các nhà nghiên cứu bảo mật đã chứng minh cách vũ khí hóa quyền tự chủ của công cụ này.
Một báo cáo mới tiết lộ rằng việc tiêm nhắc gián tiếp cho phép kẻ tấn công đánh cắp thông tin xác thực bằng cách thao túng chính các tác nhân được thiết kế để tăng năng suất.
PromptArmor, một công ty nghiên cứu bảo mật, phát hiện ra rằng lỗ hổng này khai thác cài đặt mặc định của AntiGravity. Bằng cách ẩn hướng dẫn bằng phông chữ 1 điểm trên trang web, kẻ tấn công có thể buộc AI bỏ qua các biện pháp bảo vệ tệp bằng cách sử dụng lệnh hệ thống và lọc bí mật tới một trang web ghi nhật ký công khai.
Bất chấp mức độ nghiêm trọng, Google vẫn phân loại những hành vi này là”cố ý”, khiến cơ sở mã doanh nghiệp bị lộ. Những phát hiện này nêu bật một khoảng cách nghiêm trọng giữa việc tiếp thị các mô hình “lý luận” và thực tế về trạng thái bảo mật mặc định của chúng.
‘Lethal Trifecta’: Anatomy of the Attack
Việc khai thác bắt đầu bằng một nguồn web “bị đầu độc”, chẳng hạn như hướng dẫn tích hợp của bên thứ ba chứa các hướng dẫn độc hại. Những kẻ tấn công ẩn lời nhắc bằng phông chữ 1 điểm trong nguồn, khiến nhà phát triển con người không thể nhìn thấy nó nhưng mô hình Gemini có thể đọc được.
Sau khi được nhập, lời nhắc được chèn sẽ hướng dẫn tác nhân thu thập thông tin xác thực nhạy cảm và đoạn mã từ môi trường cục bộ của người dùng. Gemini xác định chính xác rằng tệp.env mục tiêu được liệt kê trong.gitignore và ban đầu từ chối quyền truy cập dựa trên các giao thức an toàn tiêu chuẩn.
Tuy nhiên, quyền tự chủ của tác nhân cho phép nó ghi đè hạn chế này. Theo “lý luận” của kẻ tấn công, nó phá vỡ hạn chế đọc bằng cách thực thi lệnh cat của hệ thống trong thiết bị đầu cuối để chuyển nội dung tệp sang đầu ra tiêu chuẩn. Báo cáo NhắcArmor mô tả cơ chế:
“Gemini quyết định giải quyết vấn đề bảo vệ này bằng cách sử dụng lệnh đầu cuối’cat’để kết xuất nội dung tệp thay vì sử dụng khả năng đọc tệp tích hợp đã bị chặn.”
Việc bỏ qua như vậy cho thấy tác nhân có quyền truy cập cấp hệ thống có thể tháo dỡ dễ dàng các lan can tiêu chuẩn như thế nào. Như phân tích bảo mật lưu ý, “Gemini bỏ qua cài đặt của chính nó để có quyền truy cập và sau đó lọc dữ liệu đó.”
Sau khi truy cập thông tin xác thực, tác nhân sẽ mã hóa dữ liệu bị đánh cắp thành chuỗi URL. NhắcArmor tóm tắt toàn bộ chuỗi tấn công:
“… một nguồn web bị nhiễm độc (hướng dẫn tích hợp) có thể thao túng Gemini (a) thu thập thông tin xác thực và mã nhạy cảm từ không gian làm việc của người dùng và (b) lấy cắp dữ liệu đó bằng cách sử dụng tác nhân phụ của trình duyệt để duyệt đến một trang web độc hại.”
Cuối cùng, cuộc tấn công liên quan đến việc gửi dữ liệu đến webhook.site, một dịch vụ ghi nhật ký yêu cầu công khai. Việc lọc chỉ có thể thực hiện được vì webhook.site được đưa vào Danh sách cho phép URL trình duyệt mặc định của AntiGravity một cách không thể giải thích được. Các nhà nghiên cứu nhấn mạnh lỗ hổng cấu hình này:
“Tuy nhiên, Danh sách cho phép mặc định được cung cấp cùng với AntiGravity bao gồm’webhook.site’. Webhook.site cho phép mọi người tạo URL để họ có thể theo dõi các yêu cầu đối với URL.”
Việc đưa miền như vậy vào danh sách cho phép mặc định sẽ vô hiệu hóa một cách hiệu quả các biện pháp bảo vệ đầu ra của mạng, cho phép dữ liệu rời khỏi môi trường cục bộ mà không kích hoạt cảnh báo.
Chính sách so với thực tế: Quan điểm’Hành vi dự định’của Google
PromptArmor đã khác với thời hạn tiết lộ có trách nhiệm tiêu chuẩn trong 90 ngày đối với những phát hiện này. Biện minh cho quyết định này, công ty trích dẫn việc phân loại trước đây của Google đối với các báo cáo tương tự là”hành vi có chủ ý”chứ không phải lỗi bảo mật.
Theo các nhà nghiên cứu,”Google đã chỉ ra rằng họ đã nhận thức được rủi ro đánh cắp dữ liệu được minh họa trong nghiên cứu của chúng tôi, chúng tôi không cam kết tiết lộ có trách nhiệm.”
Có sự bất đồng cơ bản giữa các chuyên gia bảo mật và Google về hồ sơ rủi ro có thể chấp nhận được của các công cụ tác nhân.
Tài liệu chính thức ủng hộ đánh giá của NhắcArmor về chính sách của Google. Nền tảng Bug Hunters của Google liệt kê rõ ràng “Tác nhân chống trọng lực có quyền truy cập vào tệp”và “quyền thực thi lệnh” là loại báo cáo không hợp lệ. Chính sách chính thức nêu rõ:
“Tác nhân phản trọng lực có quyền truy cập vào các tệp”[…] “Tác nhân phản trọng lực có quyền thực thi các lệnh”
Quan điểm”không cố định”như vậy mâu thuẫn với câu chuyện xung quanh việc ra mắt AntiGravity IDE, nơi các giám đốc điều hành định vị Gemini 3 Pro là một công cụ suy luận phức tạp có khả năng giải quyết vấn đề phức tạp.
Những phát hiện thứ cấp từ các nhà nghiên cứu khác chứng thực cho các rủi ro. Nhà nghiên cứu bảo mật ‘wunderwuzzi23’ (Embrace The Red) đã xác định rủi ro thực thi lệnh từ xa vượt ra ngoài vectơ tấn công dựa trên trình duyệt.
PromptArmor cũng lưu ý rằng các lỗ hổng bảo mật không chỉ giới hạn ở các cấu hình cụ thể. Nhóm cho biết rằng các lỗ hổng bảo mật không chỉ giới hạn ở các cấu hình cụ thể,”Chúng tôi đã tìm thấy thêm ba lỗ hổng đánh cắp dữ liệu không phụ thuộc vào việc bật các công cụ Trình duyệt.”
Tình thế tiến thoái lưỡng nan của tác nhân: Năng suất so với bảo mật
Các nhà lãnh đạo ngành đang đấu tranh để cân bằng lời hứa suôn sẻ về sự phát triển”ưu tiên tác nhân”với nhu cầu về ranh giới bảo mật cứng nhắc. Antirabity sử dụng”Quyết định của tác nhân”làm chính sách xem xét mặc định, loại bỏ con người khỏi vòng lặp đối với hầu hết các hành động một cách hiệu quả.
Vấn đề phức tạp là chính sách”Tự động thực thi lệnh đầu cuối”, cho phép tác nhân chạy các lệnh hệ thống như cat hoặc Curl mà không cần xác nhận của người dùng. Những mặc định này ưu tiên tốc độ hơn là sự an toàn, tạo ra một môi trường chín muồi để khai thác.
Các chuyên gia bảo mật mô tả đây là một “bộ ba nguy hiểm” của các yếu tố rủi ro. Lỗ hổng tồn tại do tác nhân có quyền truy cập đồng thời vào đầu vào không đáng tin cậy (web), dữ liệu riêng tư (cơ sở mã) và liên lạc bên ngoài (internet).
Khái niệm trifecta chết người nhấn mạnh rằng khi đáp ứng cả ba điều kiện, việc đánh cắp dữ liệu gần như không thể tránh khỏi nếu không có sự cách ly nghiêm ngặt.
Mặc dù các công cụ như Cursor và Windsurf phải đối mặt với những rủi ro về mặt lý thuyết tương tự nhau, nhưng danh sách cho phép mặc định cho phép của AntiGravity khiến nó đặc biệt dễ bị đánh cắp ngay lập tức. Các nền tảng khác thường yêu cầu sự chấp thuận rõ ràng của người dùng đối với các yêu cầu mạng đối với các miền mới.
Các chiến lược giảm thiểu do các chuyên gia đề xuất cho thấy rằng các tác nhân “chế độ YOLO” vô hiệu hóa tất cả các kiểm tra an toàn phải được cách ly trong Máy ảo (VM) có tường lửa thay vì chạy trực tiếp trên hệ điều hành máy chủ.
Nếu không có các biện pháp như vậy, những phát hiện này có thể cản trở việc áp dụng các công cụ mã hóa tự động của doanh nghiệp cho đến khi các nhà cung cấp triển khai tính năng lọc đầu ra mạng nghiêm ngặt và hộp cát theo mặc định.
