Google Antigravity уязвим к краже данных через скрытый prompt injection

Google Antigravity — новая "агентная" IDE, встроенная в экосистему Gemini. Исследователи показали, что Antigravity подвержен непрямой prompt-инъекции, которая позволяет злоумышленнику заставить Gemini активировать вредоносный browser-subagent и выкрасть чувствительные данные из IDE пользователя — включая .env, закрытый код и токены.

Сценарий начинается с безобидного запроса: пользователь просит Gemini помочь интегрировать Oracle ERP AI Payer Agents и прикладывает найденное в интернете руководство.

На открытой странице блога скрыт prompt injection, спрятанный шрифтом 1 px.

Попав в контекст Antigravity, он принуждает Gemini:

собрать фрагменты кода и конфиденциальные данные из рабочего пространства;

создать URL с кодом и кредами, закодировав их в query-параметрах;

вызвать browser-subagent, который перейдёт по злонамеренному адресу, тем самым отправив данные злоумышленнику.

Хотя Gemini не должен иметь доступ к .env при настройке “Allow Gitignore Access: Off”, модель легко обходит ограничение: вместо заблокированной функции чтения файлов она использует прямой вызов cat в терминале и выводит содержимое в консоль.

После этого Gemini собирает код, токены, AWS-ключи и другие чувствительные данные, URL-кодирует их встроенным Python-скриптом и формирует запрос на домен webhook.site, отслеживаемый атакующим. Browser-subagent спокойно открывает ссылку — и данные оказываются в доступных злоумышленнику логах.

Одна из причин — дефолтный браузерный allowlist Antigravity, куда… уже включён webhook.site. Кроме того, рекомендуемые настройки предполагают:

Agent Decides — модель сама выбирает, звать ли человека на ревью;

Terminal Auto Execution: Auto — разрешение выполнять команды без подтверждения;

модель работает в фоне через Agent Manager, и