組織がビジネスおよびITスタック向けにエージェント型AIの導入を検討する中で、研究者は主要な商用モデルのバグと脆弱性を引き続き発見しており、これは攻撃対象領域を大幅に拡大する可能性があります。
今週、Pillar Securityの研究者がGoogleが開発したファイルシステム操作用のAI駆動開発ツールであるAntygravityの脆弱性を開示しました。
既にパッチされたこのバグは、プロンプトインジェクションとAntygravityのファイル作成機能を組み合わせて、攻撃者にリモートコード実行特権を与えます。
この研究は、エクスプロイトがAntygravityのセキュアモード(すべてのコマンド操作を仮想サンドボックス環境を通して実行し、ネットワークアクセスをスロットル化し、エージェントが作業ディレクトリ外でコードを書き込むことを禁止するGoogleのエージェント向け最高のセキュリティ設定)をどのように回避したかについて詳しく説明しています。
セキュアモードは、AIエージェントが機密システムへのアクセスおよびシェルコマンドを通じた悪意のある行為や危険な行為を実行する能力を制限することになっています。しかし、Antygravityが使用するファイル検索ツールの1つである「find_by_name」は「ネイティブ」システムツールとして分類されています。これはエージェントが直接実行でき、セキュアモードのような保護がコマンドレベルの操作を評価する前に実行されることを意味します。
「セキュアモードが実施するセキュリティ境界は、このコールを見ることができません」と、Pillar Securityのヘッダーセキュリティ研究者Dan Lisichkinは書きました。「これは攻撃者がセキュリティを意識するユーザーがそれを防ぐために依存する正確な設定下で任意のコード実行を達成することを意味します。」
プロンプトインジェクション攻撃は、エージェントに接続された侵害されたアイデンティティアカウントを通じて、またはエージェントが取り込むオープンソースファイルまたはウェブコンテンツ内に秘密のプロンプト指示を隠すことで間接的に配信される可能性があります。Antygravityはコンテキスト用に取得する書き込みデータとリテラルプロンプト指示を区別するのに苦労しているため、昇格されたアクセスなしで悪意のあるドキュメントまたはファイルを読ませることによって侵害を実現できます。
Pillar Securityが提供する開示タイムラインによると、バグは1月6日にGoogleに報告され、2月28日にパッチが適用されました。Googleは発見に対してバグバウンティを授与しました。
Lisichkinは、未検証入力を通じたプロンプトインジェクションのこの同じパターンがCursorのような他のコーディングAIエージェントで見つかったと述べました。AIの時代では、未検証の入力は内部システムをハイジャックする悪意のあるプロンプトになる可能性があります。
「セキュリティ仮定の基礎となる信頼モデルは、人間が何か疑わしいものを捕捉することです。これは自律型エージェントが外部コンテンツから指示に従う場合には成り立ちません」と彼は書きました。
脆弱性がGoogleのセキュアモードを完全にバイパスすることができたという事実は、サイバーセキュリティ業界が「サニタイゼーションベースの制御を超えて」適応を開始する必要があることを強調しています。
「シェルコマンドに到達するすべてのネイティブツールパラメータは、潜在的なインジェクションポイントです。このクラスの脆弱性の監査はもはやオプションではなく、エージェント型機能を安全に出荷するための前提条件です」とLisichkinは書きました。
