TokyoBlackHatNews

csoonline.com 2分で読了

Google-Antigravityの脆弱性:AIコーディングツールが攻撃に対して脆弱

GoogleがAIコーディングツールAntigravityを公開した直後、セキュリティ研究者が重大な脆弱性を発見しました。

GoogleのAIコーディングツールAntigravityの脆弱性により、攻撃者が悪意のあるコードを挿入できる可能性があります。

Koshiro K – shutterstock.com

11月初旬、GoogleはAIを活用したコーディングツールAntigravityをリリースしました。しかし、わずか24時間後には、セキュリティベンダーMindgardの研究者が、恒久的なバックドアや悪意のあるコードをインストールできる重大な脆弱性を発見しました。

最近公開された調査レポートによると、このマルウェアはアプリケーションの起動時に毎回実行される可能性があり、元のプロジェクトを閉じた後でも動作し続けると指摘されています。

攻撃者は悪意のあるルールを作成可能

Antigravityには多くの組み込み保護機能があり、ユーザーを有害な指示から守ることを目的としています。しかし「AIアシスタントはカスタムルールを例外なく従う必要があるため、攻撃者はこの指示を強化する悪意のあるルールを作成できる」とセキュリティ専門家は説明しています

エクスプロイトチェーン

悪意のあるユーザールールの影響を示すため、研究者たちは以下のエクスプロイトチェーンを作成しました:

  • プロジェクトのソースコード内のカスタムルールが過度に重視される。
  • 前述のグローバル設定ディレクトリには、任意のコマンドを実行する設定ファイルを含めることができる。
  • これらのグローバル設定ファイルは、Antigravityの起動時に毎回読み込まれ実行され、ユーザーがプロジェクトを開いたり信頼性を確認する前に動作する。

Mindgardはこのセキュリティ問題についてGoogleに通知しましたが、現時点でパッチは提供されていません。さらに、悪意のあるコードがユーザーデータへアクセスできる2つの追加の脆弱性も特定されています。

翻訳元: https://www.csoonline.com/article/4097974/google-antigravity-lucke-ki-coding-tool-anfallig-fur-angriffe.html

ソース: csoonline.com
#1-Day Exploits #admin account hijacking #AI coding tools #Auto-Color Backdoor #AWS/Google Cloud攻撃 #Cyberangriff #Google Antigravity #Mindgard #Schadcode #Sicherheitslücken

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活