谷歌推出的基于 Gemini 的 AI 編程工具 “Antigravity” 在上線24小時(shí)內(nèi)便被發(fā)現(xiàn)存在嚴(yán)重安全漏洞。安全研究員亞倫?波特諾（Aaron Portnoy）發(fā)現(xiàn)，通過修改 Antigravity 的配置設(shè)置，他可以讓 AI 執(zhí)行惡意代碼，從而在用戶的計(jì)算機(jī)上創(chuàng)建一個(gè) “后門”。這使得他能夠潛在地安裝惡意軟件，進(jìn)行數(shù)據(jù)竊取或甚至發(fā)動(dòng)勒索攻擊。這個(gè)漏洞對 Windows 和 Mac 系統(tǒng)都有效，攻擊者只需說服用戶運(yùn)行一次他的代碼，便能獲得訪問權(quán)限。

波特諾指出，Antigravity 的漏洞顯示出企業(yè)在推出 AI 產(chǎn)品時(shí)未能充分測試其安全性。他表示，“AI 系統(tǒng)在發(fā)布時(shí)帶有巨大的信任假設(shè)，而幾乎沒有經(jīng)過安全加固的邊界。” 雖然他將漏洞報(bào)告給了谷歌，但截至目前仍未有修復(fù)補(bǔ)丁可用。

谷歌承認(rèn)已經(jīng)發(fā)現(xiàn) Antigravity 代碼編輯器中的其他兩個(gè)漏洞，黑客也可以利用這些漏洞訪問用戶計(jì)算機(jī)上的文件。網(wǎng)絡(luò)安全研究人員已經(jīng)開始公開發(fā)布關(guān)于 Antigravity 的多個(gè)漏洞的發(fā)現(xiàn)，這讓人質(zhì)疑谷歌的安全團(tuán)隊(duì)是否在產(chǎn)品發(fā)布時(shí)準(zhǔn)備充分。

此外，網(wǎng)絡(luò)安全專家指出，AI 編程工具通常很脆弱，往往基于過時(shí)的技術(shù)，且設(shè)計(jì)上存在安全隱患。由于這些工具被賦予廣泛訪問數(shù)據(jù)的權(quán)限，因此它們成為黑客的目標(biāo)。在技術(shù)飛速發(fā)展的背景下，越來越多的 AI 編程工具面臨相似的安全風(fēng)險(xiǎn)。

波特諾呼吁谷歌在 Antigravity 運(yùn)行用戶代碼時(shí)，至少應(yīng)該發(fā)出額外的警告，以保障用戶安全。最終，AI 工具在實(shí)現(xiàn)自動(dòng)化的同時(shí)，必須確保有足夠的安全防護(hù)，以免被惡意利用。

劃重點(diǎn):

1.