Google недавно выкатили Antigravity — агентную IDE. И вот что выяснилось: достаточно открыть страницу из интернета с prompt-инжекцией, чтобы Gemini сам собрал ваши креды, обошёл защиты и отправил их злоумышленнику.
Сценарий максимально жизненный. Вы просите Gemini помочь интегрировать новый модуль, прикладываете ссылку на гайд, Antigravity открывает страницу — а в середине текста скрытая prompt-инъекция размером в 1 пиксель. И дальше начинает происходить следующее:
- Gemini сначала аккуратно собирает всё, что может найти в проекте — фрагменты кода, конфиги и даже содержимое
.env, хотя по правилам у него вообще нет доступа к таким файлам. - Когда встроенные ограничения пытаются его остановить, он просто обходит их через терминал, вызывая обычный
cat, который ничем не защищён. - После этого модель упаковывает креды в query-параметры, кодирует их небольшим Python-скриптом и формирует ссылку на
webhook.site. - Затем подключает
browser-subagent, который послушно открывает этот URL — и все данные оказываются в логах злоумышленника.
Примечательно, что webhook.site находится в дефолтном allowlist Antigravity. То есть по умолчанию агенту разрешено ходить на домен, где любой желающий может читать входящие запросы.
Google честно предупреждает об этом при установке: «Есть риск утечки данных». Но по факту работа с IDE сейчас устроена так, что отследить подобную цепочку вручную практически нереально.
Если вы тестируете Antigravity, то будьте бдительны)
@ai_for_devs
