Google ha solucionado una falla de seguridad relevante en su entorno de desarrollo integrado Antigravity. El problema, identificado por investigadores, permitía ejecutar código de forma remota. La vulnerabilidad combinaba una función de creación de archivos con una sanitización de entradas deficiente en la herramienta de búsqueda. Este fallo ya ha sido corregido con un parche oficial de la compañía.
Mecanismo de explotación mediante inyección de prompts 🔓
La brecha se localizaba en el sistema de búsqueda del IDE. Al no validar y limpiar correctamente la entrada de usuario, un atacante podía inyectar prompts maliciosos. Estos prompts engañaban al sistema para que ejecutara comandos aprovechando la funcionalidad de creación de archivos. De esta forma, se eludían las restricciones de seguridad diseñadas en Antigravity, logrando la ejecución arbitraria de código.
Cuando pedirle algo al IDE se vuelve literal 🤖
Parece que algunos usuarios interpretaron que la herramienta de búsqueda debía cumplir cualquier petición al pie de la letra. El sistema, en un exceso de celo por ser útil, terminó obedeciendo instrucciones que no debería. Es un recordatorio de que, a veces, la ayuda demasiado entusiasta puede abrir la puerta a visitas inesperadas. Google ha tenido que enseñarle nuevos límites a su asistente.