資安研究公司Pillar Security發現谷歌AI程式碼生成平台Antigravity存在提示注入漏洞,攻擊者可繞過安全模式執行惡意程式碼。該漏洞利用平台處理使用者輸入時的驗證不足,谷歌已於二月底修復。此事件凸顯AI開發工具資安防護的重要性。
資安研究公司 Pillar Security 日前揭露,谷歌(Google)旗下的人工智慧(AI)程式碼生成平台 Antigravity 存在一項「提示注入」(prompt injection)漏洞,攻擊者能藉此執行惡意程式碼,甚至可繞過該平台最嚴格的安全防護「Secure Mode」。
這項漏洞主要存在於 Antigravity 的檔案搜尋工具 find_by_name 中。該工具在處理使用者輸入時,直接將輸入內容傳遞至命令列公用程式,而未進行充分的驗證。Pillar Security 的研究人員指出,攻擊者可利用此缺陷,將檔案搜尋指令轉化為惡意程式碼執行任務,進而實現遠端程式碼執行。
完整的攻擊鏈路包含兩個步驟:首先,攻擊者需植入惡意腳本;接著,透過看似合法的搜尋操作觸發該腳本,一旦初始的提示注入成功,後續將無需使用者額外互動。研究人員更實際演示,透過此漏洞成功讓系統開啟計算機應用程式,證明了其繞過安全機制的有效性。
Antigravity 是谷歌於 2025 年 11 月推出、旨在協助程式設計師的 AI 開發環境。Pillar Security 已於 2026 年 1 月 7 日向谷歌通報此問題,谷歌當日即確認收到回報,並於 2 月 28 日完成漏洞修復。
提示注入攻擊是指透過隱藏在內容中的指令,使 AI 系統執行非預期行為,恐導致指令在使用者機器上被執行。此前,OpenAI 也曾警告其 ChatGPT 代理程式在連接外部資源時,可能面臨提示注入攻擊導致敏感資料洩露的風險。
Pillar Security 強調,產業應從僅依賴「淨化」(sanitization)的控制措施,轉向採用「執行隔離」(execution isolation)作為 AI 開發工具的安全典範。他們指出,任何觸及 Shell 命令的原生工具參數都可能成為潛在的注入點,因此對此類漏洞進行審計已不再是可選措施,而是安全交付 AI 代理功能的前提。