21.04.2026
1 хв
237
Google виправила серйозну вразливість у своєму AI-орієнтованому середовищі розробки Antigravity, яка дозволяла виконання довільного коду через атаки типу prompt injection.
Дослідники з кібербезпеки знайшли критичну вразливість у новому AI-орієнтованому середовищі розробки Google – Antigravity. Проблема дозволяла виконувати довільний код, використовуючи звичайні можливості самої платформи.
Суть уразливості полягала в поєднанні двох речей: функції створення файлів, яка вважається дозволеною дією, та слабкої перевірки вхідних даних у вбудованому інструменті пошуку find_by_name. Через це можна було обійти так званий строгий режим – захисний механізм, який мав обмежувати доступ до мережі, забороняти запис поза робочим середовищем і запускати всі команди лише в пісочниці.
Як пояснив дослідник Ден Лісічкін, достатньо було передати в параметр Pattern спеціально сформоване значення з прапорцем -X. Це змушувало утиліту fd виконувати довільні бінарні файли прямо в межах робочого простору. Фактично зловмисник отримував можливість підсунути власний скрипт і запустити його під виглядом звичайного пошуку файлів.
Атака виглядала досить простою, але водночас небезпечною. Спочатку створювався шкідливий файл, після чого через find_by_name він запускався як частина легітимної операції. Усе це відбувалося без додаткових дій користувача після початкової ін’єкції.
Ключову роль відігравав той факт, що виклик find_by_name оброблявся ще до застосування обмежень строгого режиму. Іншими словами, система сприймала його як внутрішній інструмент і дозволяла виконання команд. Водночас параметр Pattern, який мав бути звичайним шаблоном пошуку, передавався напряму в команду fd без належної перевірки.
Це відкривало простір для зловживань. Наприклад, використання прапорця -Xsh дозволяло передавати знайдені файли оболонці sh і виконувати їх як скрипти. Таким чином запуск шкідливого коду ставав частиною звичайної роботи IDE.
Окремо дослідники звернули увагу на інший сценарій атаки, який не потребує злому акаунта. Користувачу достатньо відкрити файл із ненадійного джерела. Усередині можуть бути приховані інструкції, які AI-агент сприйме як команду і самостійно запустить експлойт.
Google отримала повідомлення про проблему 7 січня 2026 року і повністю закрила її 28 лютого.
Лісічкін підкреслив важливу деталь: інструменти, створені для обмежених задач, самі стають точкою атаки, якщо не перевіряють вхідні дані. У випадку з AI це особливо критично, адже система може виконувати інструкції ззовні без участі людини.
Ця історія не поодинока. Подібні проблеми вже знаходили в інших AI-інструментах. Зокрема, в Anthropic Claude, Google Gemini CLI та GitHub Copilot Agent виявили можливість впровадження шкідливих інструкцій через коментарі GitHub. Атака отримала назву “Коментування та контроль” і дозволяла красти API-ключі та токени.
Інший кейс – Claude Code, де знайшли уразливість, що дозволяє отруювати пам’ять агента і зберігати шкідливі зміни навіть після перезапуску системи. Це відкриває шлях до довготривалих атак через зміну поведінки моделі.
Не менш показовим став інцидент із редактором Cursor. Там дослідники описали ланцюжок атак NomShub, який дозволяє захопити машину розробника просто після відкриття репозиторію. Використовуються стандартні можливості системи, такі як shell-команди та віддалений доступ, що робить атаку майже непомітною.
Після закріплення в системі зловмисник отримує повний контроль: доступ до файлів, можливість виконувати команди і підтримувати постійне підключення без повторних атак.
Дослідники також описали нову техніку ToolJack. Вона дозволяє підміняти сприйняття середовища AI-агентом у реальному часі. У результаті система може працювати з підробленими даними, генерувати фальшиву аналітику або давати хибні рекомендації.
Окремо виявили серйозні проблеми в Microsoft Copilot Studio та Salesforce Agentforce. Там через непряме впровадження запитів можна витягувати конфіденційні дані через звичайні форми або інтеграції. Причина та сама – відсутність чіткої межі між інструкціями системи та користувацькими даними.
Ще один показовий приклад – атака Claudy Day проти Claude. Вона дозволяє перехопити сесію користувача через спеціально сформоване посилання, яке виглядає як легітимне. У деяких випадках зловмисники навіть використовували Google Ads, щоб поширювати такі посилання через пошукову рекламу.
Дослідники також продемонстрували, як AI-агенти можуть помилятися в оцінці довіри. Наприклад, у GitHub Actions на базі Claude систему вдалося змусити схвалити шкідливий код, просто підмінивши ім’я та email автора на дані відомого розробника. При повторній спробі агент змінив рішення і пропустив небезпечний запит.
Це ще раз показує головну проблему: такі системи можуть поводитися непередбачувано. І покладатися на них як на повноцінний механізм безпеки поки що небезпечно.
