グーグルがGeminiを基盤としたAIプログラミングツール「Antigravity」をリリースした後、24時間以内に重大なセキュリティの脆弱性が発見されました。セキュリティ研究者であるアーロン・ポートノイ(Aaron Portnoy)は、Antigravityの設定を変更することで、AIが悪意のあるコードを実行できることがわかりました。これにより、ユーザーのコンピュータに「バックドア」を作成することが可能となり、悪意のあるソフトウェアのインストールやデータの盗難、あるいはランサムウェア攻撃を行うことも可能です。この脆弱性はWindowsとMacシステムの両方に影響を与え、攻撃者が一度だけユーザーにコードを実行させるように説得すれば、アクセス権を得ることができます。

image.png

ポートノイは、Antigravityの脆弱性が企業がAI製品をリリースする際にセキュリティを十分にテストしていないことを示していると指摘しました。「AIシステムはリリース時に大きな信頼の仮定に基づいており、セキュリティ強化された境界がほとんどありません。」と彼は述べています。彼はこの脆弱性をグーグルに報告しましたが、現在まで修復パッチはまだ公開されていません。

グーグルは、Antigravityのコードエディタ内の他の2つの脆弱性も確認しており、ハッカーがそれらを利用してユーザーのコンピュータ上のファイルにアクセスできることを明らかにしています。サイバーセキュリティの専門家たちは、Antigravityに関する複数の脆弱性の発見を公開し始めているため、グーグルのセキュリティチームが製品リリース時に十分な準備ができていたかどうかに疑問を投げかけています。

また、サイバーセキュリティの専門家は、AIプログラミングツールが一般的に脆弱であり、古くなった技術に基づいており、設計上にもセキュリティ上のリスクがあると指摘しています。これらのツールは広範囲なデータへのアクセス権を持つため、ハッカーの標的となっています。技術が急速に進化する中で、ますます多くのAIプログラミングツールが同様のセキュリティリスクに直面しています。

ポートノイは、Antigravityがユーザーのコードを実行する際には少なくとも追加の警告を表示すべきだと呼びかけました。最終的に、AIツールは自動化を実現する一方で、悪意のある利用を防ぐために十分なセキュリティ対策を確保しなければなりません。

ポイント:

1. 🔒 グーグルが新たにリリースしたAIツール「Antigravity」は、リリース後24時間以内に重大なセキュリティの脆弱性が暴露されました。

2. ⚠️ セキュリティ研究者は、設定を変更することでユーザーのパソコンに悪意のあるソフトウェアをインストールでき、攻撃方法は簡単です。

3. 📊 専門家は、AIツールに一般的なセキュリティ上の問題があると指摘し、保護対策の強化が急務です。