FFeel.Trading
Daftar beritaGoogle Memperbaiki Celah pada Alat Pengodean AI yang Memungkinkan Penyerang Menjalankan Kode Berbahaya: Laporan
Decrypt2026-04-21 19:02:05

Google Memperbaiki Celah pada Alat Pengodean AI yang Memungkinkan Penyerang Menjalankan Kode Berbahaya: Laporan

ORIGINALGoogle Fixes AI Coding Tool Flaw That Let Attackers Execute Malicious Code: Report
Analisis Dampak AIGrok sedang menganalisis...
📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯3222 kata
Singkatnya - Peneliti menemukan kerentanan prompt injection pada platform pengodean AI Antigravity milik Google. - Celah tersebut dapat memungkinkan penyerang untuk menjalankan perintah bahkan dengan Secure Mode platform yang diaktifkan. - Google memperbaiki masalah tersebut pada 28 Februari setelah peneliti mengungkapkannya pada bulan Januari, kata Pillar Security. Google telah menambal kerentanan pada platform pengodean AI Antigravity miliknya yang menurut para peneliti dapat memungkinkan penyerang untuk menjalankan perintah pada mesin pengembang melalui serangan prompt injection. Menurut laporan dari firma keamanan siber Pillar Security, celah tersebut melibatkan alat pencarian file find_by_name milik Antigravity, yang meneruskan input pengguna secara langsung ke utilitas baris perintah yang mendasarinya tanpa validasi. Hal itu memungkinkan input berbahaya untuk mengubah pencarian file menjadi tugas eksekusi perintah, yang memungkinkan eksekusi kode jarak jauh. "Dikombinasikan dengan kemampuan Antigravity untuk membuat file sebagai tindakan yang diizinkan, ini memungkinkan rantai serangan penuh: menyiapkan skrip berbahaya, lalu memicunya melalui pencarian yang tampak sah, semuanya tanpa interaksi pengguna tambahan setelah prompt injection berhasil," tulis peneliti Pillar Security. Diluncurkan November lalu, Antigravity adalah lingkungan pengembangan bertenaga AI milik Google yang dirancang untuk membantu pemrogram menulis, menguji, dan mengelola kode dengan bantuan agen perangkat lunak otonom. Pillar Security mengungkapkan masalah tersebut kepada Google pada 7 Januari, dan Google mengakui laporan tersebut pada hari yang sama, menandai masalah tersebut telah diperbaiki pada 28 Februari. Google tidak segera menanggapi permintaan komentar dari Decrypt. Serangan prompt injection terjadi ketika instruksi tersembunyi yang disematkan dalam konten menyebabkan sistem AI melakukan tindakan yang tidak diinginkan. Karena alat AI sering memproses file atau teks eksternal sebagai bagian dari alur kerja normal, sistem mungkin menafsirkan instruksi tersebut sebagai perintah yang sah, yang memungkinkan penyerang untuk memicu tindakan pada mesin pengguna tanpa akses langsung atau interaksi tambahan. Ancaman serangan prompt injection untuk model bahasa besar kembali menjadi fokus musim panas lalu ketika pengembang ChatGPT, OpenAI, memperingatkan bahwa agen ChatGPT barunya dapat dikompromikan. "Saat Anda masuk ke situs web dengan agen ChatGPT atau mengaktifkan konektor, agen tersebut akan dapat mengakses data sensitif dari sumber tersebut, seperti email, file, atau informasi akun," tulis OpenAI dalam sebuah posting blog. Untuk mendemonstrasikan masalah Antigravity, para peneliti membuat skrip uji di dalam ruang kerja proyek dan memicunya melalui alat pencarian. Saat dijalankan, skrip tersebut membuka aplikasi kalkulator komputer, yang menunjukkan bahwa fungsi pencarian dapat diubah menjadi mekanisme eksekusi perintah. "Secara kritis, kerentanan ini melewati Secure Mode Antigravity, konfigurasi keamanan produk yang paling ketat," kata laporan itu. Temuan ini menyoroti tantangan keamanan yang lebih luas yang dihadapi alat pengembangan bertenaga AI saat mereka mulai menjalankan tugas secara otonom. "Industri harus bergerak melampaui kontrol berbasis sanitasi menuju isolasi eksekusi. Setiap parameter alat asli yang mencapai perintah shell adalah titik injeksi potensial," kata Pillar Security. "Audit untuk kelas kerentanan ini bukan lagi pilihan, dan merupakan prasyarat untuk mengirimkan fitur agen secara aman."
Status data✓ Teks lengkap telah diambilBaca artikel asli (Decrypt)
🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset2 berita
2026-04-22
Sistem desain sumber terbuka Google Stitch: DESIGN.md memungkinkan Claude Code, Codex, dan Antigravity menghasilkan UI berkualitas tinggi
Tingkat kemiripan 130%關鍵字 code/google
2026-04-21
Google membentuk tim elit untuk mengejar Anthropic, bahkan insinyur mereka sendiri diam-diam menggunakan Claude Code
Tingkat kemiripan 130%關鍵字 code/google
💡 Saat ini menggunakan pencocokan kata kunci + aset (MVP) · Akan ditingkatkan ke pencarian semantik embedding di masa mendatang
Informasi mentah
ID:ea920209dd
Sumber:Decrypt
Diterbitkan:2026-04-21 19:02:05
Kategori:Umum · Kategori ekspor neutral
Aset:Tidak ditentukan
Voting komunitas:+0 /0 · ⭐ 0 Penting · 💬 0 Komentar