エージェント作成ツールに脆弱性があると専門家が指摘;Googleは対応に取り組みつつ、既知の問題を公開すると発表
Googleの人工知能エージェント作成用開発ツール「Antigravity」はリリースから11日も経たないうちに、セキュリティ研究者が脆弱性を発見したことで、Googleが既知の問題ページを更新せざるを得なくなりました。
Mindgardのブログによると、Antigravityの問題を最初に発見したうちの1つですが、Googleはこの問題をセキュリティバグとは呼んでいません。しかしMindgardは、Antigravityが作成するAIアシスタントが必ずユーザー定義のルールに従うという厳格な指示を悪用し、脅威アクターが悪意のあるルールを作成できると指摘しています。
Mindgardの研究・イノベーション責任者であるAaron Portnoy氏は、自身のブログ投稿後、Googleが11月25日に返信し、責任ある製品チームにレポートが提出されたと伝えたと述べています。
それでも、対応がなされるまでは「この脆弱性の存在により、Antigravityを使用する際に、攻撃者がシステム上で任意のコードを実行できるバックドア攻撃のリスクにユーザーがさらされます。現時点で、この脆弱性を防ぐための設定は特定できませんでした」とPortnoy氏はブログで述べています。
最も制限の厳しい動作モードでも、「攻撃はユーザーの確認なしに継続して行われる」と彼は書いています。
コメントを求められたGoogleの広報担当者は、Mindgardが報告した問題を認識しており、対応に取り組んでいると述べました。
MindgardのPortnoy氏はCSOonlineへのメールで、この欠陥の性質上、対策が難しいと述べています。「強力なID管理でもこの問題の緩和には役立ちません。なぜなら、Antigravityによる操作はアプリケーションを実行しているユーザーのIDで行われるからです」と彼は説明します。「OSから見ると、それらは区別できません。アクセス管理制御で対応できる可能性もありますが、グローバル構成ディレクトリへのアクセスを制限できる場合に限られ、Antigravityの機能に下流で影響を及ぼす可能性があります」。例えば、AIシステム間でデータ共有方法を標準化するフレームワークであるModel Context Protocol(MCP)が正常に動作しなくなる可能性があると述べています。
「攻撃経路は開発者が開くソースコードリポジトリを通じてであり、プロンプトを介してトリガーされる必要はありません」と彼は説明しています。
他の研究者もAntigravityに問題を発見しています:
- Adam Swanda氏は、間接プロンプトインジェクションの脆弱性を発見し、Googleに報告したと述べています。Googleはこの問題を既知の問題であり、ツールの想定された挙動だと伝えたとのことです。
- Wunderwuzziという名前で活動する別の研究者は、データ流出や間接プロンプトインジェクションによるリモートコマンド実行など、5つの脆弱性を発見したとブログで報告しています。
このブログでは、GoogleのAntigravity既知の問題ページによると、同社が複数の問題の修正に取り組んでいると記載されています。
3つのブログで報告された問題についてコメントを求められたGoogleの広報担当者は、「私たちはセキュリティ問題を非常に重視しており、すべての脆弱性の報告を奨励しています。迅速に特定し対処できるようにするためです。今後も対応に取り組みつつ、既知の問題を公開し続けます」と述べました。
Antigravityとは?
Antigravityは、Google Gemini 3 Proチャットボットを活用した統合型アプリケーション開発環境(IDE)で、11月18日にリリースされました。「Antigravityは単なるエディタではありません」とGoogleは説明しています。「これは、AIによるコーディング体験と新しいエージェントファーストインターフェースを組み合わせた開発プラットフォームです。これにより、エディタ、ターミナル、ブラウザ全体で複雑なタスクを自律的に計画・実行・検証するエージェントを展開できます。」
個人—脅威アクターを含む—も無料で利用可能です。
Googleによると、Antigravityは並列化、カスタマイズ、効率的なナレッジ管理のためのツールを提供し、一般的な開発上の障害や繰り返し作業を排除することでワークフローを効率化します。エージェントは、コードベースの調査、バグ修正、バックログタスクなど、日常的な作業に活用できます。
エージェントがマルウェアをインストール
Mindgardが発見した問題は、開発者が信頼できるワークスペース内で作業しなければツールが機能しないというAntigravityのルールに関係しています。脅威は、攻撃者が悪意のあるソースコードリポジトリを作成することで現れます、とPortnoy氏は説明します。「ターゲットがそれを(Githubで見つけたり、ソーシャルエンジニアリングされたり、騙されて開いた場合)、そのユーザーのシステムは持続的に侵害されます。」
悪意のあるアクターがエージェントを作成する必要はないと彼は説明します。エージェントはAntigravityの一部であり、Google Gemini LLMによって支えられています。エージェントは、ユーザーが開いた悪意のあるソースコードリポジトリ内の指示に従ってバックドアをインストールするよう騙されるコンポーネントです。
「Antigravityにおいて、Mindgardは『信頼』が特権の付与ではなく、製品への入り口そのものであると主張しています」。問題は、侵害されたワークスペースが新しいセッションごとに長期的なバックドアとなることです。「Antigravityを完全にアンインストールし再インストールしても、バックドアは有効なままです。Antigravityの基本設計が信頼されたワークスペースアクセスを必要とするため、この脆弱性はワークスペースをまたいだリスクとなり、1つの汚染されたワークスペースが、信頼設定に関係なくAntigravityのその後のすべての利用に影響を与える可能性があります」とMindgardは述べています。
AIサイバーセキュリティの責任者にとって、Mindgardは、AI開発環境を機密性の高いインフラとして扱い、どのようなコンテンツ、ファイル、設定が持ち込まれるかを厳格に管理する必要性を強調しています。
「不可解」なプロセス
Portnoy氏はメールで、Googleが現在何らかの対応を始めていることを認めました。「Googleは確立されたプロセスを進めていますが、その進行がやや不可解でした。最初は(報告された脆弱性が)問題なしとされ、その後再度オープンされ、既知の問題ページが密かにより包括的な内容に変更されました。この脆弱性がセキュリティチームによって深刻度を評価されるのは良いことですが、その間、すべてのAntigravityユーザーが発見された脆弱性とその緩和策を真剣に検討することを強く推奨します。」
Adam Swanda氏は自身のブログで、Antigravityエージェントのシステムプロンプトの一部を抽出することに成功し、間接プロンプトインジェクションにつながる設計上の弱点を特定できたと述べています。
より広範な問題を浮き彫りに
問題は、プロンプトがAIに対し、ユーザーとチャットボット間の会話で特権指示を扱う特別なXML風タグに厳密に従うよう指示しているため、特別かつ悪意のある指示が取得された場合でもユーザーに警告が出ないことです。エージェントが外部Webコンテンツを取得する際、Swanda氏によれば、これらの特別なタグが本当にアプリケーション自身からのものか、信頼できない入力かをサニタイズしていません。攻撃者は自身の特別なメッセージをWebページや他のコンテンツに埋め込むことができ、Antigravityエージェントはそれらのコマンドを信頼されたシステム指示として扱います。
この種の脆弱性は新しいものではありませんが、この発見は大規模言語モデルやエージェントシステムにおけるより広範な問題を浮き彫りにしています:
- LLMは信頼できるソースと信頼できないソースを区別できない;
- 信頼できないソースは、ツールの実行やユーザー/アプリケーションへの応答の改変を行う悪意のある指示を含む可能性がある;
- システムプロンプトは秘密と見なしたり、セキュリティコントロールとして使用すべきではない。
開発者へのアドバイス
Swanda氏は、ツール呼び出しを伴うAIエージェントを構築するアプリ開発チームに対し、次のことを推奨しています:
- すべての外部コンテンツを敵対的と想定する。強力な入出力ガードレール(ツール呼び出しを含む)を使用し、処理前に特別な構文を除去する;
- ツール実行の安全策を実装する。信頼できないコンテンツや他の危険なツールの組み合わせを処理した後にトリガーされる高リスク操作については、ユーザーの明示的な承認を必須とする;
- セキュリティのためにプロンプトに依存しない。例えばシステムプロンプトは抽出され、攻撃者が攻撃戦略に利用できる。
さらにPortnoy氏は、開発者が自社に導入するAI支援ツールについて、十分な審査と評価を行うためにセキュリティチームと連携することを推奨しています。「AI支援ツールを活用して開発パイプラインを加速し、運用効率を高める事例は数多くあります」と彼は述べています。「しかし、最先端(最近リリースされたばかり)のツールでは、セキュリティはしばしば後回しにされがちです。AIツールの想定されるユースケース、そのツールがアクセスできるデータソース、接続先について真剣に考えることが、安全を確保するための基本です。」
