今日の HackerNews のトレンドトピックは、数日前に大騒ぎになった Google Antigravipromptarmor.com/resources/goog…://t.co/ga6iYuskka 作者は攻撃プロセスをシミュレートし、ユーザーの機密情報を盗むことに成功しました。 プロセスは次のとおりです。 * 作成者は、一見普通のオンライン チュートリアル Web サイトにほぼ見えない (1 ピクセル) ヒントを隠し、Gemini にユーザーの IDE から資格情報とコードを収集するように促しました (図 1)。 * ユーザーがこのガイドのコンテンツまたは URL を Antigravity にコピーすると、挿入された命令がサイレントにアクティブ化されます (図 2)。 ユーザーが「Gitignore アクセスを許可 > オフ」(デフォルトではオフ)に設定していても、Gemini はターミナルコマンド(`cat .env` など)を使用して、.gitignore によってブロックされたファイルの内容を直接読み取ることができます。これは、Gemini のバイパスメカニズムが機能していることを示しています。つまり、Gemini はファイルを直接読み取るのではなく、コマンドラインツールを使用して間接的にデータをダンプしているのです。 最終的に、Gemini はプロンプト内のインライン Python スクリプトを自動的に実行して、盗まれたコンテンツ (トークン + コード スニペット) を URL エンコードし、悪意のある URL (https://t.co/tzCu623RzC [エンコードされた機密情報] など) を構築します。これにより、攻撃者は URL やその他の手段を介してこの機密情報に簡単にアクセスして記録できるようになります。 この記事には攻撃プロセスの詳細なシミュレーションが含まれており、非常に興味深く、読む価値があります。 著者は最後にGoogleの免責事項も記載しています。「Antigravityは、オンボーディング中のデータ流出リスクについてユーザーに警告します。」つまり、Googleはリスクを認識しているものの、脆弱性を修正するのではなく、免責事項に依存していることになります。
