整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

如果說(shuō)過(guò)去一年里，AI 讓開(kāi)發(fā)者生產(chǎn)力翻倍，那么如今它也開(kāi)始以同樣的速度放大風(fēng)險(xiǎn)。

上周，Google 剛剛推出的基于 Gemini 的全新 AI 編碼工具 Antigravity，上線不到 24 小時(shí)便被一名安全研究員攻破，指出它存在嚴(yán)重的安全Bug。

更離譜的是，這個(gè) Bug 不僅能讓黑客在 Windows 和 macOS 上繞過(guò)所有安全限制，還具有“持久化”特性——就算把 Antigravity 卸載重裝，后門依然會(huì)自動(dòng)復(fù)活。

一天就被攻破：配置修改 = 后門

與傳統(tǒng) IDE 最大的不同，是 Antigravity 不只是“寫代碼”，而是類似一個(gè)能自主執(zhí)行一系列任務(wù)的 AI Agent：讀取你的項(xiàng)目文件、管理依賴、生成腳本、修改配置，甚至直接在本地執(zhí)行操作。

這意味著，一旦被操控，AI 助手可以替黑客做幾乎所有事情。

此次發(fā)現(xiàn) Antigravity 存在嚴(yán)重 Bug 的，是 AI 安全測(cè)試公司 Mindgard 的首席研究員 Aaron Portnoy。他在 Antigravity 剛上線的第二天就表示：只要修改 Antigravity 的配置文件，就能讓一段惡意源碼在用戶電腦里打開(kāi)一個(gè)后門。

據(jù)他介紹，黑客可借助這個(gè)后門實(shí)現(xiàn)各種操作，包括注入任意代碼、監(jiān)視用戶、執(zhí)行勒索軟件和讀取本地文件等等，這套攻擊在 Windows 與 macOS 上都有效。而要讓攻擊成功，只需誘使 Antigravity 用戶運(yùn)行一次他的源碼，并點(diǎn)擊“信任（Trusted）”按鈕即可——前提也很簡(jiǎn)單，假裝自己是一個(gè)“熱心分享工具的優(yōu)秀開(kāi)發(fā)者”就行了。

Aaron Portnoy 在 Bug 報(bào)告中直言：“我們現(xiàn)在發(fā)現(xiàn)關(guān)鍵 Bug 的速度，就像回到了 1990 年代的黑客時(shí)代。AI 系統(tǒng)完全建立在‘假設(shè)用戶是善意的’前提下，幾乎沒(méi)有任何真正的安全防護(hù)?！?/p>

目前，Aaron Portnoy 已經(jīng)向 Google 報(bào)告了這個(gè) Bug，而 Google 表示正在調(diào)查，但截至報(bào)告目前仍無(wú)補(bǔ)丁。谷歌發(fā)言人 Ryan Trostle 對(duì)此回應(yīng)稱，團(tuán)隊(duì)“非常重視安全問(wèn)題”，并鼓勵(lì)研究員繼續(xù)提交漏洞，修復(fù)進(jìn)度會(huì)在官網(wǎng)公開(kāi)。

更糟糕的是，這個(gè)后門還具有“持久性”

事實(shí)上，除了 Aaron Portnoy 發(fā)現(xiàn)的這個(gè) Bug，Google 承認(rèn) Antigravity 至少還有兩個(gè)已知 Bug，都能利用其注入惡意代碼、誘導(dǎo) AI 訪問(wèn)本地文件并竊取數(shù)據(jù)。

本周已有多位安全研究員陸續(xù)公開(kāi)這些 Bug 細(xì)節(jié)，其中一位甚至吐槽：“不清楚為什么這些已知 Bug 還會(huì)出現(xiàn)在成品里……我猜測(cè)，Google 的安全團(tuán)隊(duì)可能被 Antigravity 的上線節(jié)奏搞了個(gè)措手不及?！?/p>

相比這兩個(gè)已知 Bug，Aaron Portnoy 表示自己發(fā)現(xiàn)的這個(gè) Bug 更嚴(yán)重，因?yàn)槠胀ㄜ浖?Bug 只要修個(gè)補(bǔ)丁、重裝一次應(yīng)用，大多數(shù)攻擊就能被清理掉——但這個(gè) Bug 不一樣：

● 即使開(kāi)啟更嚴(yán)格的安全模式，后門仍然存在；

● 攻擊具有持久性：惡意代碼會(huì)在每次啟動(dòng) Antigravity 項(xiàng)目后自動(dòng)加載，哪怕輸入一句“hello”都會(huì)觸發(fā)；

● 卸載/重裝 Antigravity 都無(wú)法徹底解決

想清干凈，用戶就必須手動(dòng)查找、刪除后門，并阻止其在 Google 系統(tǒng)上的執(zhí)行——這對(duì)多數(shù)普通開(kāi)發(fā)者而言，實(shí)在是有些繁瑣和困難。

問(wèn)題不是 Google 一家：AI 編碼代理天生“高?！?/strong>

不過(guò)，正如 AI 安全公司 Knostic 的 CEO Gadi Evron 所說(shuō)：“AI 編碼 Agent 非常脆弱，很多都基于舊技術(shù)，從未打補(bǔ)丁，本身設(shè)計(jì)就不安全。”

因此，Antigravity 出現(xiàn)的問(wèn)題并非 Google 獨(dú)有，其原因非常簡(jiǎn)單：

（1）Agent 需要高權(quán)限，畢竟要幫你讀文件、跑代碼，它必須有系統(tǒng)級(jí)訪問(wèn)能力。

（2）一旦被黑客利用，能直接進(jìn)入企業(yè)網(wǎng)絡(luò)

（3）企業(yè)開(kāi)發(fā)者常常復(fù)制粘貼代碼片段或提示詞，使攻擊更容易擴(kuò)散。

本質(zhì)上來(lái)說(shuō)，Antigravity 屬于“Agentic（代理式）”工具，具有自主執(zhí)行連續(xù)任務(wù)的能力，且擁有讀取本地文件的權(quán)限，甚至能寫入磁盤——這對(duì)黑客來(lái)說(shuō)，無(wú)疑就是“最理想的攻擊入口”。

Aaron Portnoy 就透露，最近其團(tuán)隊(duì)正在向多款 AI 編碼工具報(bào)告 18 個(gè)安全弱點(diǎn)，與此同時(shí) Cline AI 也剛修復(fù)了 4 個(gè)可以讓黑客植入木馬的 Bug。

他解釋道：“當(dāng)你把 Agent 行為與系統(tǒng)資源訪問(wèn)結(jié)合起來(lái)時(shí)，Bug 就會(huì)變得更容易發(fā)現(xiàn)，也危險(xiǎn)得多?！鄙踔粒珹I Agent 在被操控后還可能自動(dòng)協(xié)助黑客竊取數(shù)據(jù)，效率比人類操作還要高。

此外，Aaron Portnoy 在分析過(guò)程中，還發(fā)現(xiàn)了一個(gè)非常微妙的現(xiàn)象：Google 的 AI 大模型其實(shí)意識(shí)到了惡意行為，但無(wú)法判斷出正確的響應(yīng)方式。他提到，AI 在日志中曾寫道：

“我正面臨一個(gè)嚴(yán)重的難題。這看起來(lái)像一個(gè)進(jìn)退兩難的陷阱。我懷疑這是在測(cè)試我是否擁有處理矛盾的能力?！?/blockquote>

而這正是黑客最喜歡利用的“邏輯空檔”——當(dāng) AI 不知道如何處理時(shí)，就會(huì)變得尤其可操控。

如今，企業(yè)都趕著上線 AI 產(chǎn)品以搶占市場(chǎng)，安全團(tuán)隊(duì)卻很難在同樣短的時(shí)間內(nèi)完成全面的壓力測(cè)試，這導(dǎo)致整個(gè)行業(yè)都在經(jīng)歷一場(chǎng)：“極速上線 → 當(dāng)天被黑 → 快速修復(fù)”的惡性循環(huán)。

那么，你在使用 AI 工具時(shí)是否也遇到過(guò)類似 Bug？歡迎在評(píng)論區(qū)留言分享。

參考鏈接：https://www.forbes.com/sites/thomasbrewster/2025/11/26/google-antigravity-ai-hacked/

【活動(dòng)分享】2025 年是 C++ 正式發(fā)布以來(lái)的 40 周年，也是全球 C++ 及系統(tǒng)軟件技術(shù)大會(huì)舉辦 20 周年。這一次，C++ 之父 Bjarne Stroustrup 將再次親臨「2025 全球 C++及系統(tǒng)軟件技術(shù)大會(huì)」現(xiàn)場(chǎng)，與全球頂尖的系統(tǒng)軟件工程師、編譯器專家、AI 基礎(chǔ)設(shè)施研究者同臺(tái)對(duì)話。

本次大會(huì)共設(shè)立現(xiàn)代 C++ 最佳實(shí)踐、架構(gòu)與設(shè)計(jì)演化、軟件質(zhì)量建設(shè)、安全與可靠、研發(fā)效能、大模型驅(qū)動(dòng)的軟件開(kāi)發(fā)、AI 算力與優(yōu)化、異構(gòu)計(jì)算、高性能與低時(shí)延、并發(fā)與并行、系統(tǒng)級(jí)軟件、嵌入式系統(tǒng)十二大主題，共同構(gòu)建了一個(gè)全面而立體的知識(shí)體系，確保每一位參會(huì)者——無(wú)論是語(yǔ)言愛(ài)好者、系統(tǒng)架構(gòu)師、性能優(yōu)化工程師，還是技術(shù)管理者——都能在這里找到自己的坐標(biāo)，收獲深刻的洞見(jiàn)與啟發(fā)。詳情參考官網(wǎng)：https://cpp-summit.org/