TokyoBlackHatNews

csoonline.com 4分で読了

プロンプトインジェクションがGoogleのAntigravityファイル検索をRCEに変えた

GoogleのAntigravity IDEのプロンプトインジェクション脆弱性により、ファイル検索ツールがリモートコード実行ベクトルに変わり、Secure Modeの保護をバイパスします。

セキュリティ研究者らは、GoogleのAntigravity IDEにおけるプロンプトインジェクション脆弱性を発見しました。この脆弱性は、サンドボックス保護をバイパスしてリモートコード実行(RCE)を実現するために悪用される可能性があります。

この問題は、Antigravityがユーザーに代わってネイティブ関数(ファイル検索など)を呼び出すことを可能にする機能から生じました。複雑さを排除するために設計されたこの機能は、攻撃者がツールパラメータに悪意のある入力を注入することを可能にする可能性があります。

Pillar Securityの研究者によると、この脆弱性はAntigravityの「最も制限的なセキュリティ設定」であるSecure Modeをバイパスできる可能性があります。

この脆弱性は1月にGoogleに報告され、Googleは問題を内部的に認識して修正し、Pillar SecurityにAI固有のカテゴリーの脆弱性報酬プログラム(VRP)を通じて報酬を授与しました。Googleはコメント要求に対してはまだ返答していません。

ファイル検索がコード実行に変わる可能性

Pillarのプロンプトインジェクション手法は、Antigravityの「find_my_name」ツールと「fd」ユーティリティを利用していました。find_my_nameはAntigravityの組み込みエージェントツールの1つで、AIがfdコマンドラインを使用してプロジェクトワークスペース内のファイルとディレクトリを検索できるようにします。

問題は、「-」で始まる文字列がfdによってフラグとして解釈されていたことです。これにより、「-Xsh」パターンに一致するファイル内のバイナリが実行される可能性がありました。「この技術は、find_by_nameツールのPatternパラメータの不十分な入力サニタイゼーションを悪用し、攻撃者がコマンドラインフラグを基礎となるfdユーティリティに注入して、ファイル検索操作を任意のコード実行に変換できます」と研究者はブログ投稿で述べています。

基本的に、単にファイルを検索するのではなく、「fd」は「Pattern」パラメータを操作する細工されたプロンプトを使用して、攻撃者が提供するバイナリをこれらのファイル全体で実行するようにだまされる可能性がありました。研究者は、ローカルディレクトリに「パターン」を注入した脆弱性を悪用するための悪意のあるプロンプトを含むファイルを作成することで、これを実証しました。Antigravityはファイルをピックアップし、その意図されたタスク(計算機の起動など)を実行しました。また、検索ツールも起動されました。これで「-Xsh」パターンを実行する準備が整いました。

これは間接プロンプトインジェクションを通じてリモートコード実行に変わる可能性もあります。「ユーザーが無害に見えるソースファイルを公開リポジトリなどの信頼されていないソースから取得し、エージェントに悪用をステージングしてトリガーするよう指示する攻撃者制御のコメントが含まれています」と研究者は説明しました。

最悪の部分は、既存の保護では阻止できなかったことです。

Googleのサンドボックスは機会を逃した

Antigravityのセキュアモードは、ネットワークアクセスを制限し、ワークスペース外への書き込みを防止し、すべてのコマンド操作がサンドボックスコンテキスト下で厳密に実行されるようにするために設計されていますが、このテクニックをフラグまたは隔離することはできませんでした。これは、find_my_nameツールが、Secure Modeの制限が評価される前にはるか前に呼び出されるためです。

「エージェントはそれをネイティブツール呼び出しとして扱い、シェルコマンドではないため、Secure Modeが適用するセキュリティ境界に到達することはありません」と研究者は述べています。

この問題は2つの根本原因に要約されました。「Pattern パラメータに入力検証なし」により、正当な検索パターン文字をチェックせずに任意の文字列を受け入れます。2番目は「引数終了なし」で、これはfdがフラグと検索用語を区別できないことを指します。Googleはすでに脆弱性を内部的に修正しており、Antigravityユーザーは保護を維持するために何もする必要がありません。しかし、Secure Modeをバイパスするこの脆弱性の機能は、Pillar研究者が指摘するように、シェルコマンドに焦点を当てたセキュリティ制御では不十分であることを強調しています。「業界は、サニタイゼーションベースの制御から実行分離へと進む必要があります」と彼らは述べています。「シェルコマンドに到達するすべてのネイティブツールパラメータが潜在的な注入ポイントです。」

翻訳元: https://www.csoonline.com/article/4161382/prompt-injection-turned-googles-antigravity-file-search-into-rce.html

ソース: csoonline.com
#AIセキュリティ #Antigravity #Google #RCE #サンドボックスバイパス #セキュリティ研究 #セキュリティ脆弱性 #プロンプトインジェクション #入力検証 #脆弱性報告

関連記事

発見されてから数週間経つも、アクティブに悪用されている脆弱性があり、数千のApache ActiveMQインスタンスがパッチを当てられていない

Azure SREエージェントの脆弱性により、部外者がエンタープライズクラウド運用を密かに盗聴可能に

デジタル変革の推進力であるアイデンティティが重要な理由