谷歌已修复其集成开发环境Antigravity中的一个相关安全漏洞。该问题由研究人员发现,允许远程执行代码。该漏洞结合了文件创建功能与搜索工具中薄弱的输入清理机制。此缺陷现已被公司官方补丁修复。
通过提示注入的利用机制 🔓
该漏洞位于IDE的搜索系统中。由于未能正确验证和清理用户输入,攻击者可以注入恶意提示。这些提示会欺骗系统,使其利用文件创建功能执行命令。通过这种方式,Antigravity中设计的安全限制被绕过,从而实现了任意代码执行。
当向IDE提出请求变得过于字面化时 🤖
似乎有些用户认为搜索工具应该逐字逐句地满足任何请求。系统在过度热心地试图提供帮助时,最终执行了本不该执行的指令。这提醒我们,有时过于热情的帮助可能会为不速之客打开大门。谷歌不得不为其助手设定新的界限。