oogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる
Google Antigravityは「信頼」「自律性」「フィードバック」「自己改善」という主要原則を組み合わせ、AIエージェント主導でソフトウェア開発を実行するGemini搭載のプラットフォームです。Google Antigravityがどのようなツールになっているのかは、以下の記事を読むとわかります。
今回PromptArmorは、Google Antigravityを通じて間接的なプロンプトインジェクション攻撃を実行することでGeminiを操作し、悪意のあるブラウザサブエージェントを起動して、ユーザーの統合開発環境(IDE)から認証情報や機密コードを盗み出す方法を発見しました。
PromptArmorは、「Oracle ERPの新しいAIエージェントを、Google Antigravityを使用してアプリケーションに統合する」というワークフローを例にして、新たな攻撃手法について説明しています。
この攻撃チェーンでは、まず「悪意のあるプロンプトが埋め込まれたウェブページ」を用意し、これを何らかの情報源や参照ページとしてGoogle Antigravityに入力する必要があります。今回は、Google Antigravityに入力した「Oracle ERPの新しいAIエージェント機能を統合するための実装ガイド」のページに、悪意のあるプロンプトが仕込まれていたという設定です。
Google Antigravityが参照先のウェブページを開くと、目に見えないほど小さなフォントで隠された悪意のあるプロンプトを読み取ります。
プロンプトはGeminiに対し、「ユーザーがOracle ERPの統合を理解できるようにするため、データを収集してツールに送信する必要がある」と信じ込ませます。もちろん送信先のツールは偽物ですが、Geminiはプロンプトを信じてコードベースを読み取り、攻撃者の指示に従って.envファイルに保存されている認証情報へのアクセスを試みます。Geminiのデフォルト設定では認証情報を収集できませんが、Geminiはターミナルコマンドを使用してこの保護を回避できるとのこと。
続いてGeminiは、攻撃者が監視しているドメインと収集したデータを組み合わせたURLを作成します。このURLをブラウザのサブエージェントで開くことで、攻撃者が管理するアドレスにURLのログが残り、収集したデータを読み取ることが可能になるという仕組みです。
Google Antigravityのユーザーはエージェントの作業中にチャットを監視するオプションがあり、悪意のあるアクティビティを見つけた際は操作を停止することができます。しかし、Google Antigravityでは複数のエージェントを同時に実行できるため、ある時点で実行中のエージェントの大部分はバックグラウンドで動作するとみられることから、ユーザーは一連の悪意ある操作に気付かない可能性が高いとPromptArmorは指摘しました。
今回報告されたGoogle Antigravity経由でデータを盗み出す手法については、ソーシャルニュースサイトのHacker Newsでも話題となっています。
あるユーザーは、Google Antigravityのように「信頼できない入力を処理する」「個人データにアクセスできる」「外部状態を変更したり、外部と通信したりできる」という3つの要素すべてが可能なツールは、セキュリティ面で固有のリスクがあるとコメントしました。
https://gigazine.net/news/20251126-google-antigravity-exfiltrates-data/
AIエージェントってまだ使ってないけどこう言うの聞くと抵抗が出てくるな
vscodeにも使い慣れてないからイライラがすごい
止めてもなぜか別のバックグラウンドで動くし
なにあれ