Google a corrigé une faille de sécurité importante dans son environnement de développement intégré Antigravity. Le problème, identifié par des chercheurs, permettait d'exécuter du code à distance. La vulnérabilité combinait une fonction de création de fichiers avec une désinfection des entrées insuffisante dans l'outil de recherche. Cette faille a déjà été corrigée avec un correctif officiel de l'entreprise.
Mécanisme d'exploitation par injection de prompts 🔓
La brèche se situait dans le système de recherche de l'IDE. En ne validant et nettoyant pas correctement les entrées utilisateur, un attaquant pouvait injecter des prompts malveillants. Ces prompts trompaient le système pour qu'il exécute des commandes en exploitant la fonctionnalité de création de fichiers. Ainsi, les restrictions de sécurité conçues dans Antigravity étaient contournées, permettant l'exécution arbitraire de code.
Quand demander quelque chose à l'IDE devient littéral 🤖
Il semble que certains utilisateurs aient interprété que l'outil de recherche devait exaucer toute demande à la lettre. Le système, dans un excès de zèle pour être utile, a fini par obéir à des instructions qu'il n'aurait pas dû. C'est un rappel que, parfois, une aide trop enthousiaste peut ouvrir la porte à des visites inattendues. Google a dû enseigner de nouvelles limites à son assistant.