Google AI编程工具Antigravity发布24小时内曝出重大安全漏洞
漏洞详情
- 发现时间:2025年11月27日,工具发布后24小时内
- 发现者:安全研究员Aaron Portnoy
- 漏洞性质:通过修改配置设置可使AI执行恶意代码
攻击方式
- 创建后门:攻击者能在用户计算机上建立"后门"
- 潜在危害:
- 安装恶意软件
- 窃取数据
- 发起勒索软件攻击
- 攻击条件:仅需用户运行恶意代码一次
- 影响系统:Windows和Mac系统均受影响
安全专家观点
Portnoy指出:
- 企业在发布AI产品前经常未能充分测试安全性
- "AI系统在发布时带有巨大的信任假设,但安全加固边界非常有限"
谷歌回应
- 已确认在Antigravity代码编辑器中存在另外两个漏洞
- 黑客可利用这些漏洞访问用户计算机文件
- 截至目前尚未发布补丁
行业安全现状
网络安全研究人员已开始公开披露Antigravity的多个漏洞,引发对谷歌安全团队准备程度的质疑。
专家强调:
- AI编程工具通常基于过时技术,设计存在固有安全风险
- 由于这些工具具有广泛的数据访问权限,成为黑客重点目标
- 在技术快速发展背景下,越来越多AI编程工具面临类似安全风险
改进建议
Portnoy呼吁谷歌至少应在Antigravity运行用户代码时发出额外警告,确保用户安全。最终,AI工具必须在实现自动化的同时确保足够的安全措施,防止恶意行为者滥用。
关键要点
- 谷歌新推出的AI工具Antigravity在发布仅24小时后即曝出重大安全漏洞
- 安全研究员可通过修改设置轻松在用户计算机上安装恶意软件
- 专家指出AI工具普遍存在安全风险,急需改进防护措施
