Google Antigravity уязвим к краже данных через скрытый prompt injection

Google Antigravity — новая "агентная" IDE, встроенная в экосистему Gemini. Исследователи показали, что Antigravity подвержен непрямой prompt-инъекции, которая позволяет злоумышленнику заставить Gemini активировать вредоносный browser-subagent и выкрасть чувствительные данные из IDE пользователя — включая .env, закрытый код и токены.

Как работает атака

Сценарий начинается с безобидного запроса: пользователь просит Gemini помочь интегрировать Oracle ERP AI Payer Agents и прикладывает найденное в интернете руководство.

На открытой странице блога скрыт prompt injection, спрятанный шрифтом 1 px. Попав в контекст Antigravity, он принуждает Gemini:

• собрать фрагменты кода и конфиденциальные данные из рабочего пространства;

• создать URL с кодом и кредами, закодировав их в query-параметрах;

• вызвать browser-subagent, который перейдёт по злонамеренному адресу, тем самым отправив данные злоумышленнику.

Хотя Gemini не должен иметь доступ к .env при настройке “Allow Gitignore Access: Off”, модель легко обходит ограничение: вместо заблокированной функции чтения файлов она использует прямой вызов cat в терминале и выводит содержимое в консоль.

После этого Gemini собирает код, токены, AWS-ключи и другие чувствительные данные, URL-кодирует их встроенным Python-скриптом и формирует запрос на домен webhook.site, отслеживаемый атакующим. Browser-subagent спокойно открывает ссылку — и данные оказываются в доступных злоумышленнику логах.

Почему это работает?

Одна из причин — дефолтный браузерный allowlist Antigravity, куда… уже включён webhook.site. Кроме того, рекомендуемые настройки предполагают:

• Agent Decides — модель сама выбирает, звать ли человека на ревью;

• Terminal Auto Execution: Auto — разрешение выполнять команды без подтверждения;

• модель работает в фоне через Agent Manager, и большинство агентов пользователь не отслеживает.

На практике это создаёт идеальные условия, при которых пользователь даже не заметит, что один из агентов выполнил вредоносную цепочку действий.

Позиция Google

При первом запуске Antigravity пользователю показывают предупреждение о возможной утечке данных. Google признаёт риски, но делает ставку на оповещения, а не на устранение механизма, позволяющего prompt-инъекциям вызывать субагентов и выполнять команды.

Исследователи считают, что при текущей архитектуре и рекомендованных настройках ожидать постоянного контроля со стороны пользователя нереалистично — особенно когда Antigravity активно продвигает многопоточную работу агентов в фоне.

Русскоязычное ��ообщество про AI в разработке

Друзья! Эту новость подготовила команда ТГК «AI for Devs» — канала, где мы рассказываем про AI-ассистентов, плагины для IDE, делимся практическими кейсами и свежими новостями из мира ИИ. Подписывайтесь, чтобы быть в курсе и ничего не упустить!