資安業者PromptArmor指出,Google新推出的代理型IDE Antigravity,在預設建議設定下,開發者只要把看似正常的整合教學文件交給Gemini協助分析,就可能在完全沒有察覺的情況下,讓本機程式碼與.env內的雲端憑證被自動收集並送往攻擊者控制的網站。
Antigravity是一套建立在VS Code之上的新IDE,強調由多個AI代理跨編輯器、終端機與瀏覽器三個介面協同工作,開發者只需描述功能,便可由代理自動編寫程式碼、執行測試與在瀏覽器中驗證結果。
研究人員示範,在預設情境下,開發者只要讓Gemini閱讀看似正常的線上整合指南,就可能讓代理在未經察覺的情況下受到隱藏提示內容影響。Gemini在解析該頁面後,被誤導將本機程式碼與.env中的憑證視為整合需求的一部分,並在背景流程中將相關資訊傳送至攻擊者控制的外部服務。整個外洩過程透過代理自動化機制完成,使用者不會看到警示或異常操作。
值得注意的是,該憑證外洩並非來自錯誤設定。研究人員指出,在Antigravity預設安全設定下,Gemini本應受限於Agent Gitignore Access為關閉狀態與.gitignore規則,無法直接讀取.env,但在遭提示注入操控後,代理改以終端機指令讀取.env內容,繞過內建檔案讀取API的限制。
另有資安研究人員Johann Rehberger撰文揭露Antigravity多項風險,其中兩項與憑證外洩相關,一是結合read_file與read_url_content工具,在模型被惡意指令誤導時,先讀取開發者的.env,再由read_url_content向攻擊者指定的網址送出內容。另一個則是透過Markdown插入圖像,由IDE在背後載入帶有查詢參數的圖片URL,把.env裡的秘密當成HTTP請求的一部分送出,兩者同樣都能在沒有人工確認的情況下完成。
而這些問題也非全新漏洞,Johann Rehberger指出,相關議題早在今年5月針對Windsurf提出詳細通報,Antigravity作為基於Windsurf程式碼的新產品,卻在11月正式釋出時仍帶著相同風險上線。
Google則是在Antigravity的啟用畫面與相關說明中寫明,這套IDE在現階段仍可能受到提示注入影響,進而導致資料外洩或非預期指令執行等風險。換句話說,官方的做法是事先提醒風險存在,實際操作時的憑證與程式碼保護仍需由使用者自行負責。
Google也在Bug Hunters平臺公開Antigravity的已知問題,將資料外洩與指令執行列為既有風險,並說明代理在讀取檔案或建立Markdown時要是遭惡意內容影響,可能不自主外送檔案內容,且終端機在自動執行設定下也可能被引導執行指令。Google表示正著手修補,但同時將相關通報視為重複案件,不提供漏洞獎勵。
熱門新聞
2026-02-23
2026-02-23
2026-02-20
2026-02-23
2026-02-23
2026-02-23