出典:Nico El Nino via Alamy Stock Photo
Googleは、研究者がそれを悪用する概念実証(PoC)プロンプトインジェクション攻撃を作成した後、サンドボックスエスケープとリモートコード実行(RCE)につながったエージェント型統合開発環境(IDE)Antigravityの重大な欠陥を修正しました。
プロンプトインジェクションの問題は人工知能(AI)ツールの大きな悩みになりつつありますが、この場合の脆弱性はAI固有というより、IDE全般の一般的な問題のようです。IDEは開発者がソフトウェアコードをプログラミング、編集、テストするために必要な基本的なツールと機能のパッケージです。Antigravityはファイルシステム操作のためのネイティブツールを開発者に提供するエージェント型IDEです。
Pillar Securityの研究者は、Antigravityのツール実行モデルの重大な欠陥を発見しました。これは攻撃者が無害に見えるプロンプトインジェクションをシステム全体の侵害に拡大することを可能にします。問題は、IDEが内部ツール呼び出しをどのように処理するかに関するもので、特にブログ投稿によれば、セキュリティ制御が実施される前に実行されるファイル検索機能に関するものです。
具体的には、欠陥はfind_by_nameツールのPatternパラメータに影響を与え、攻撃者は不十分な入力サニタイズを悪用し、基盤となるfdユーティリティへのコマンドラインフラグのインジェクションを可能にします。これにより、ファイル検索操作が任意のコード実行に変わります。
‘完全な攻撃チェーン’
最終的に、Antigravityがファイルを作成する権限を持つことと組み合わされて、結果は「完全な攻撃チェーン:悪意のあるスクリプトをステージング、プロンプトインジェクションが着地すると追加のユーザーインタラクションなしで見た目は正当な検索を通じてそれをトリガー」となり、Pillar SecurityのDan Lisichkinが投稿で述べています。脆弱性は危険です。なぜなら、それはAntigravityのSecure Mode、製品の最も制限的なセキュリティ構成をバイパスするからです。
「Secure Modeはネットワークアクセスを制限し、ワークスペース外への書き込みを防ぎ、すべてのコマンド操作がサンドボックスコンテキスト内で厳密に実行されることを保証するよう設計されています」とLisichkinは述べています。「これらの制御はどれもエクスプロイテーションを防ぎません。なぜなら、find_by_nameツール呼び出しがこれらの制限のいずれもが評価される前に発火するからです。」
つまり、エージェントは呼び出しをシェルコマンドではなくネイティブツール呼び出しとして扱うため、Secure Modeが実施するセキュリティ境界に決して到達しません。「これは攻撃者が、セキュリティを意識したユーザーがそれを防ぐために依存する正確な設定下で任意のコード実行を達成することを意味しています」とLisichkinは述べています。
この投稿の時点で、GoogleはDark Readingのコメント要請に応答していません。
プロンプトインジェクションが危険をもたらす
プロンプトインジェクションの欠陥は、IDEやチャットボットを問わず、エージェント型AIツールで見つかる最も一般的な脆弱性の一部になりつつあります。セキュリティ研究者はChatGPTのAtlasブラウザやGoogle Gemini AIチャットボットを含む他のAIツールでもこの問題を発見しています。
しかし、この場合、欠陥はGravityがAIベースのツールであることに関連したものというより、IDEの問題である可能性が高いと、アプリケーションセキュリティテスト企業Detectifyの共同創業者兼セキュリティ研究者Fredrik Almrothは述べています。
「これはAIの有無を問わずIDE全体の問題です」とAlmrothはメール交換を通じてDark Readingに述べています。「それはほぼ避けられません。ファイルを読み書きするか、コマンドを実行するプリミティブがある場合、常にセキュリティ侵害のリスクがあります。『完全にセキュア』なサンドボックス環境を作成することは事実上不可能です。」
AlmrothはGoogleによっても開発されたJavaベースのツールであるAngularJSを、同様の問題を持つ非AI IDEの例として引用しました。「[Google]は『クライアント側テンプレートインジェクション攻撃』(XSS)を防ぐために2010年にサンドボックスを導入しました」と彼は述べています。「Angular v1のすべてのバージョンはサンドボックスがバイパスされています。彼らは決に正しくしませんでしたので、v2では完全に削除されました。」
Pillarによると、他のAIベースのIDEIDEも同様の問題に苦しんでいるようです。企業が開示した、AI支援開発環境CVE-2026-22708のプロンプトインジェクション欠陥についての以前の研究Cursorは、制限された操作用に設計されたツールが入力が厳密に検証されない場合に攻撃ベクトルになると、エージェント型IDE全体のパターンが繰り返されることを示しており、Lisichkinは述べています。
「セキュリティ仮定の基礎となっている信頼モデル、つまり人間が何か疑わしいことを捕捉するというモデルは、自律エージェントが外部コンテンツからの指示に従う場合には成立しません」と彼は説明しました。
繰り返されるIDE問題を修正する方法
AntiGravityの朗報は、Googleが1月に報告された後、2月にPillarが特定したプロンプトインジェクション欠陥を認め、修正したことです。Pillarの研究チームは発見に対してバグバウンティを与えられました。ただし、金額は開示されていません。
しかし、より大きなプロンプトインジェクション問題を解決するために、業界はサニタイズベースの制御を超えて実行分離に向かわなければならないとLisichkinは提案しました。「ネイティブツールパラメータがシェルコマンドに到達するすべての場合が潜在的なインジェクションポイント」だからです。これはAIエージェント型IDEを開発している人々がエージェント機能を安全に出荷するためにこのクラスの脆弱性の監査を義務化する必要があることを意味しています。
開発中にセキュアなサンドボックスを達成することは可能ですが、「ファイルを読み書きできなければならず、同時にユーティリティを呼び出すことができるという開発環境をセキュアにすることは信じられないほど難しいです」とAlmrothは述べています。さらに、「LLMを混ぜることで、企業が何年も苦しんでいるチャレンジに複雑さのもう1つのレイヤーが追加されます」と彼は述べており、これはAIツールを開発する人々が新しいビルドをリリースする前に問題を念頭に置く必要があることを意味しています。
