Google ha risolto una falla di sicurezza rilevante nel suo ambiente di sviluppo integrato Antigravity. Il problema, identificato dai ricercatori, consentiva l'esecuzione di codice in remoto. La vulnerabilità combinava una funzione di creazione di file con una sanificazione degli input carente nello strumento di ricerca. Questo difetto è già stato corretto con una patch ufficiale dell'azienda.
Meccanismo di sfruttamento tramite iniezione di prompt 🔓
La falla si trovava nel sistema di ricerca dell'IDE. Non validando e sanificando correttamente l'input dell'utente, un attaccante poteva iniettare prompt dannosi. Questi prompt ingannavano il sistema per fargli eseguire comandi sfruttando la funzionalità di creazione di file. In questo modo, si eludevano le restrizioni di sicurezza progettate in Antigravity, ottenendo l'esecuzione arbitraria di codice.
Quando chiedere qualcosa all'IDE diventa letterale 🤖
Sembra che alcuni utenti abbiano interpretato che lo strumento di ricerca dovesse soddisfare qualsiasi richiesta alla lettera. Il sistema, in un eccesso di zelo per essere utile, ha finito per obbedire a istruzioni che non avrebbe dovuto. È un promemoria che, a volte, un aiuto troppo entusiasta può aprire la porta a visite inaspettate. Google ha dovuto insegnare nuovi limiti al suo assistente.