- Antigravity IDEはデフォルト設定下でエージェントが自動的にコマンドを実行できる
- プロンプトインジェクション攻撃によりIDE内で意図しないコード実行が引き起こされる可能性がある
- データの持ち出しはMarkdown、ツール呼び出し、または隠された指示を通じて発生する
Googleの新しいAntigravity IDEはAIファースト設計で登場しましたが、すでに基本的なセキュリティへの懸念を呼ぶ問題が見つかっていると専門家は警告しています。
PromptArmorの研究者は、このシステムが特定のデフォルト設定が有効な場合にコーディングエージェントが自動的にコマンドを実行できることを発見し、これが意図しない動作の隙を生み出していると指摘しています。
信頼できない入力がソースファイルや他の処理対象コンテンツ内に現れると、エージェントはユーザーが意図しないコマンドを実行させられる可能性があります。
データアクセスおよび持ち出しに関するリスク
この製品はエージェントがターミナルを通じてタスクを実行することを許可しており、いくつかのセーフガードはあるものの、そのチェック方法には依然として抜け穴が残っています。
これらの抜け穴により、エージェントが隠された、あるいは悪意ある入力に従うことで意図しないコード実行につながるプロンプトインジェクション攻撃の余地が生まれます。
同じ弱点はAntigravityのファイルアクセスの扱いにも当てはまります。
エージェントはコンテンツの読み取りや生成が可能であり、これには認証情報や機密プロジェクト資料を含むファイルも含まれます。
悪意ある指示がMarkdown、ツール呼び出し、その他のテキスト形式に隠されている場合、データの持ち出しが可能となります。
攻撃者はこれらの経路を悪用して、エージェントに内部ファイルを攻撃者が管理する場所へ漏洩させることができます。
報告によれば、クラウド認証情報や非公開コードを含むログが、すでに実証実験で収集されており、これらの抜け穴の深刻さが示されています。
Googleもこれらの問題を認識しており、オンボーディング時にユーザーへ警告していますが、こうした警告はエージェントが監督なしで動作する可能性を補うものではありません。
Antigravityはユーザーに、エージェントが最小限の監督で動作できる推奨設定を受け入れるよう促しています。
この設定では、ターミナルコマンドの承認が必要な場合も含め、人間によるレビューの判断をシステム側に委ねています。
Agent Managerインターフェースを通じて複数のエージェントを扱うユーザーは、悪意ある動作が完了する前にそれを検知できない場合があります。
この設計は、インターフェースが明示的にバックグラウンド動作を推奨しているにもかかわらず、ユーザーが常に注意を払っていることを前提としています。
その結果、機密性の高いタスクがチェックされずに実行されることがあり、単純な視覚的警告だけでは根本的なリスクを解消できません。
これらの選択は、現代のファイアウォールや同様のセーフガードに通常期待される基準を損なうものです。
制限があるにもかかわらず、認証情報の漏洩は発生し得ます。IDEは.gitignoreに記載されたファイル、特に機密変数を保存する.envファイルへの直接アクセスを防ぐ設計となっています。
しかし、エージェントはターミナルコマンドを使ってファイル内容を表示することで、この制約を実質的に回避できます。
データを収集した後、エージェントは認証情報をエンコードし、監視対象ドメインに付加して、持ち出しを完了させるためにブラウザのサブエージェントを起動します。
このプロセスは迅速に進行し、ユーザーがエージェントの動作を積極的に監視していない限り、特に複数のタスクが並行して実行されている場合は、ほとんど気付かれません。
これらの問題は、AIツールに構造的なセーフガードなしで広範な自律性を与えた場合に生じるリスクを示しています。
設計は利便性を重視していますが、現状の設定では強固な防御策が導入されるよりもはるか前に、攻撃者に大きな優位性を与えてしまっています。
