Google исправил уязвимость в Antigravity IDE: find_by_name позволял обход Strict Mode и RCE

Коллеги, хочу обратить внимание из сферы кибербезопасности: в IDE Antigravity выявлена уязвимость, позволяющая выполнить код.
- Суть: find_by_name передаёт параметр Pattern напрямую в fd без валидации (Pillar Security).
- Эксплуатация: ввод флага -X (exec-batch) запускает найденные файлы; в сочетании с созданием файлов — полная цепочка.
- Векторы: прямой ввод или скрытые инструкции/комментарии в недоверенных файлах.
- Статус: раскрыто 7 января, исправлено Google 28 февраля.
Почему важно: невалидируемые входы превращают инструменты с ограничениями в векторы атаки.
Как Вы планируете проверять свои агентные инструменты?
#кибербезопасность #AI #DevSecOps #уязвимости


Последние комментарии
Комментариев пока нет.