Google устранил существенную уязвимость в своей интегрированной среде разработки Antigravity. Проблема, выявленная исследователями, позволяла выполнять код удаленно. Уязвимость сочетала функцию создания файлов с недостаточной фильтрацией входных данных в инструменте поиска. Этот недостаток уже исправлен официальным патчем компании.
Механизм эксплуатации через инъекцию промптов 🔓
Брешь находилась в системе поиска IDE. Из-за некорректной валидации и очистки пользовательского ввода, злоумышленник мог внедрять вредоносные промпты. Эти промпты обманывали систему, заставляя её выполнять команды, используя функциональность создания файлов. Таким образом, обходились ограничения безопасности, заложенные в Antigravity, что позволяло выполнять произвольный код.
Когда просить что-то у IDE становится буквальным 🤖
Кажется, некоторые пользователи решили, что инструмент поиска должен выполнять любой запрос буквально. Система, в чрезмерном рвении быть полезной, в итоге подчинялась инструкциям, которым не должна была. Это напоминание о том, что иногда слишком восторженная помощь может открыть дверь для неожиданных визитов. Google пришлось научить своего помощника новым границам.