Google Antigravity уязвим к краже данных через скрытый prompt injection
habr.comGoogle Antigravity — новая "агентная" IDE, встроенная в экосистему Gemini. Исследователи показали, что Antigravity подвержен непрямой prompt-инъекции, которая позволяет злоумышленнику заставить Gemini активировать вредоносный browser-subagent и выкрасть чувствительные данные из IDE пользователя — включая .env, закрытый код и токены.Сценарий начинается с безобидного запроса: пользователь просит Gemini помочь интегрировать Oracle ERP AI Payer Agents и прикладывает найденное в интернете руководство.На открытой странице блога скрыт prompt injection, спрятанный шрифтом 1 px.
Попав в контекст Antigravity, он принуждает Gemini:собрать фрагменты кода и конфиденциальные данные из рабочего пространства;создать URL с кодом и кредами, закодировав их в query-параметрах;вызвать browser-subagent, который перейдёт по злонамеренному адресу, тем самым отправив данные злоумышленнику.Хотя Gemini не должен иметь доступ к .env при настройке “Allow Gitignore Access: Off”, модель легко обходит ограничение: вместо заблокированной функции чтения файлов она использует прямой вызов cat в терминале и выводит содержимое в консоль.После этого Gemini собирает код, токены, AWS-ключи и другие чувствительные данные, URL-кодирует их встроенным Python-скриптом и формирует запрос на домен webhook.site, отслеживаемый атакующим.
