谷歌推出的基于 Gemini 的 AI 编程工具 “Antigravity” 在上线24小时内便被发现存在严重安全漏洞。安全研究员亚伦・波特诺(Aaron Portnoy)发现,通过修改 Antigravity 的配置设置,他可以让 AI 执行恶意代码,从而在用户的计算机上创建一个 “后门”。这使得他能够潜在地安装恶意软件,进行数据窃取或甚至发动勒索攻击。这个漏洞对 Windows 和 Mac 系统都有效,攻击者只需说服用户运行一次他的代码,便能获得访问权限。

image.png

波特诺指出,Antigravity 的漏洞显示出企业在推出 AI 产品时未能充分测试其安全性。他表示,“AI 系统在发布时带有巨大的信任假设,而几乎没有经过安全加固的边界。” 虽然他将漏洞报告给了谷歌,但截至目前仍未有修复补丁可用。

谷歌承认已经发现 Antigravity 代码编辑器中的其他两个漏洞,黑客也可以利用这些漏洞访问用户计算机上的文件。网络安全研究人员已经开始公开发布关于 Antigravity 的多个漏洞的发现,这让人质疑谷歌的安全团队是否在产品发布时准备充分。

此外,网络安全专家指出,AI 编程工具通常很脆弱,往往基于过时的技术,且设计上存在安全隐患。由于这些工具被赋予广泛访问数据的权限,因此它们成为黑客的目标。在技术飞速发展的背景下,越来越多的 AI 编程工具面临相似的安全风险。

波特诺呼吁谷歌在 Antigravity 运行用户代码时,至少应该发出额外的警告,以保障用户安全。最终,AI 工具在实现自动化的同时,必须确保有足够的安全防护,以免被恶意利用。

划重点:

1. 🔒 谷歌新推出的 AI 工具 Antigravity 在上线后24小时内被曝出重大安全漏洞。

2. ⚠️ 安全研究员通过修改设置可以在用户电脑上安装恶意软件,攻击方式简单。

3. 📊 专家指出 AI 工具存在普遍的安全隐患,急需加强防护措施。