谷歌已修复其反重力 AI 编程平台中的一个漏洞，研究人员表示，该漏洞可能允许攻击者通过提示注入攻击在开发者的机器上运行命令。

根据网络安全公司 Pillar Security 的一份报告，该漏洞涉及反重力的 find_by_name 文件搜索工具，该工具直接将用户输入传递给底层命令行工具而不进行验证。这使得恶意输入能够将文件搜索转换为命令执行任务，进而实现远程代码执行。

“结合反重力能够作为允许操作创建文件的能力，这使得整个攻击链得以实现：设置恶意脚本，然后通过看似合法的搜索触发它，一旦提示注入成功，所有这一切都无需额外的用户交互，”Pillar Security 的研究人员写道。

反重力于去年11月发布，是谷歌为程序员设计的 AI 驱动的开发环境，旨在帮助程序员借助自治软件代理编写、测试和管理代码。Pillar Security 于1月7日向谷歌披露了该问题，谷歌在同一天确认了报告，并于2月28日标记该问题为已修复。



谷歌未立即回应 Decrypt 的评论请求。

提示注入攻击发生在内容中嵌入的隐藏指令导致 AI 系统执行意外操作时。由于 AI 工具通常将外部文件或文本作为正常工作流程的一部分进行处理，系统可能将这些指令解释为合法命令，从而允许攻击者在用户的机器上触发操作，而无需直接访问或额外交互。

去年夏天，当 ChatGPT 开发者 OpenAI警告其新的 ChatGPT 代理可能会受到威胁时，针对大型语言模型的提示注入攻击威胁重新引起关注。

“当你将 ChatGPT 代理登录到网站或启用连接器时，它将能够访问来自这些来源的敏感数据，例如电子邮件、文件或账户信息，”OpenAI 在一篇博客文章中写道。

为了演示反重力的问题，研究人员在项目工作区内创建了一个测试脚本，并通过搜索工具触发它。执行时，脚本打开了计算机的计算器应用程序，显示搜索功能可以转变为命令执行机制。

“关键是，这个漏洞绕过了反重力的安全模式，这是该产品最严格的安全配置，”报告中说道。

这些发现突显了 AI 驱动的开发工具在开始自主执行任务时所面临的更广泛的安全挑战。

“整个行业必须超越基于消毒的控制，朝着执行隔离转变。每一个到达 Shell 命令的本地工具参数都是一个潜在的注入点，”Pillar Security 说。“审核这一类漏洞已不再是可选的，而是安全发布自主功能的前提。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。