FFeel.Trading
ニュース一覧Google、攻撃者が悪意のあるコードを実行できるAIコーディングツールの欠陥を修正:報道
Decrypt2026-04-21 19:02:05

Google、攻撃者が悪意のあるコードを実行できるAIコーディングツールの欠陥を修正:報道

ORIGINALGoogle Fixes AI Coding Tool Flaw That Let Attackers Execute Malicious Code: Report
AI 影響分析Grok が分析中...
📄原文全文· trafilatura により自動抽出Gemini 翻譯3222 文字
要約 - 研究者はGoogleのAntigravity AIコーディングプラットフォームにプロンプトインジェクションの脆弱性を発見した。 - この欠陥により、プラットフォームのSecure Modeが有効な状態であっても、攻撃者がコマンドを実行できる可能性がある。 - Pillar Securityによると、研究者が1月に開示した後、Googleは2月28日に問題を修正した。 Googleは、Antigravity AIコーディングプラットフォームにおける脆弱性を修正した。研究者によると、この脆弱性はプロンプトインジェクション攻撃を通じて、攻撃者が開発者のマシン上でコマンドを実行できる可能性があるという。 サイバーセキュリティ企業Pillar Securityの報告書によると、この欠陥はAntigravityのファイル検索ツール「find_by_name」に関連しており、ユーザー入力を検証なしで直接基盤となるコマンドラインユーティリティに渡していた。これにより、悪意のある入力がファイル検索をコマンド実行タスクに変換し、リモートコード実行を可能にしていた。 「Antigravityが許可されたアクションとしてファイルを作成できる機能と組み合わせることで、完全な攻撃チェーンが可能になる。悪意のあるスクリプトを配置し、一見正当な検索を通じてそれをトリガーする。プロンプトインジェクションが成功すれば、ユーザーの追加操作は一切不要だ」とPillar Securityの研究者は記している。 昨年11月に立ち上げられたAntigravityは、自律型ソフトウェアエージェントの支援を受けてプログラマーがコードの記述、テスト、管理を行えるよう設計された、GoogleのAI搭載開発環境である。Pillar Securityは1月7日にこの問題をGoogleに開示し、Googleは同日に報告を受理、2月28日に修正済みとしてマークした。 GoogleはDecryptからのコメント要請にすぐには応じなかった。 プロンプトインジェクション攻撃は、コンテンツに埋め込まれた隠れた指示がAIシステムに意図しない動作をさせることで発生する。AIツールは通常のワークフローの一環として外部ファイルやテキストを処理することが多いため、システムがそれらの指示を正当なコマンドと解釈し、攻撃者が直接アクセスしたり追加の操作を行ったりすることなく、ユーザーのマシン上でアクションをトリガーできる可能性がある。 大規模言語モデルに対するプロンプトインジェクション攻撃の脅威は、昨夏、ChatGPTの開発元であるOpenAIが、新しいChatGPTエージェントが侵害される可能性があると警告したことで、再び注目を集めた。 「ChatGPTエージェントをウェブサイトにサインインさせたり、コネクタを有効にしたりすると、メール、ファイル、アカウント情報など、それらのソースからの機密データにアクセスできるようになる」とOpenAIはブログ投稿で述べている。 Antigravityの問題を実証するために、研究者はプロジェクトワークスペース内にテストスクリプトを作成し、検索ツールを通じてそれをトリガーした。実行されると、スクリプトはコンピュータの電卓アプリケーションを開き、検索機能がコマンド実行メカニズムに転用できることを示した。 「重要なのは、この脆弱性が製品の最も制限的なセキュリティ設定であるAntigravityのSecure Modeをバイパスすることだ」と報告書は述べている。 今回の調査結果は、AI搭載開発ツールが自律的にタスクを実行し始める中で直面する、より広範なセキュリティ上の課題を浮き彫りにしている。 「業界はサニタイズベースの制御を超えて、実行の分離へと移行しなければならない。シェルコマンドに到達するすべてのネイティブツールパラメータは、潜在的なインジェクションポイントである」とPillar Securityは述べた。「この種の脆弱性に対する監査はもはやオプションではなく、エージェント機能を安全に出荷するための前提条件である。」
データステータス✓ 全文抽出済み原文を読む(Decrypt)
🔍過去の類似イベント· キーワード + 銘柄照合2 件
2026-04-22
Google Stitch オープンソースデザインシステム:DESIGN.md が Claude Code、Codex、Antigravity による高品質な UI 生成を実現
類似度 130%關鍵字 code/google
2026-04-21
Google、Anthropic を追う精鋭チームを結成、自社のエンジニアまで Claude Code を密かに利用中
類似度 130%關鍵字 code/google
💡 現在はキーワード + 銘柄照合(MVP)を使用しています · 今後 embedding セマンティック検索へアップグレード予定
原始情報
ID:ea920209dd
ソース:Decrypt
公開:2026-04-21 19:02:05
カテゴリ:一般 · エクスポートカテゴリ neutral
銘柄:未指定
コミュニティ投票:+0 /0 · ⭐ 0 重要 · 💬 0 コメント