O Google corrigiu uma falha de segurança relevante em seu ambiente de desenvolvimento integrado Antigravity. O problema, identificado por pesquisadores, permitia executar código remotamente. A vulnerabilidade combinava uma função de criação de arquivos com uma sanitização de entradas deficiente na ferramenta de busca. Essa falha já foi corrigida com um patch oficial da empresa.
Mecanismo de exploração por meio de injeção de prompts 🔓
A brecha estava localizada no sistema de busca do IDE. Ao não validar e limpar corretamente a entrada do usuário, um atacante podia injetar prompts maliciosos. Esses prompts enganavam o sistema para que executasse comandos aproveitando a funcionalidade de criação de arquivos. Dessa forma, as restrições de segurança projetadas no Antigravity eram contornadas, alcançando a execução arbitrária de código.
Quando pedir algo ao IDE se torna literal 🤖
Parece que alguns usuários interpretaram que a ferramenta de busca deveria cumprir qualquer solicitação ao pé da letra. O sistema, em um excesso de zelo por ser útil, acabou obedecendo a instruções que não deveria. É um lembrete de que, às vezes, a ajuda excessivamente entusiasta pode abrir a porta para visitas inesperadas. O Google teve que ensinar novos limites ao seu assistente.