Новият AI инструмент за програмиране на Google беше хакнат ден след пускането му
Избрани статии и новини от редакцията на Forbes България
В рамките на 24 часа след като Google пусна своя AI инструмент за програмиране Antigravity, задвижван от Gemini, изследователят по сигурността Арън Портной откри това, което определя като сериозна уязвимост: трик, който му позволил да манипулира правилата на AI така, че потенциално да инсталира зловреден софтуер на компютъра на потребителя.
КЛЮЧОВИ ФАКТИ
- Чрез промяна на конфигурационните настройки на Antigravity, зловредният код на Портной създава т.нар. „бекдор“ в системата на потребителя, в който той може да внедри код за шпиониране на жертвите или за стартиране на рансъмуер, разказва той пред Forbes.
- Атаката е работила както на Windows, така и на Mac компютри. За да изпълни хакерската атака, единственото необходимо било да убеди потребителя на Antigravity да стартира кода му веднъж след като кликне върху бутон, потвърждаващ, че кодът му е „доверен“ (нещо, което хакерите често постигат чрез социално инженерство, например като се представят за опитни и добронамерени програмисти).
- Уязвимостта на Antigravity е пореден пример за това как компании пускат AI продукти, без да ги тестват достатъчно за пропуски в сигурността. Това създава игра „котка и мишка“ за експертите по киберсигурност, които се опитват да открият подобни дефекти, за да предупредят потребителите навреме.
- „Скоростта, с която откриваме критични грешки в момента, напомня на хакерството в края на 90-те години,“ пише Портной в доклад за уязвимостта, предоставен на Forbes преди публичното му публикуване в сряда. „AI системите се пускат с огромни предположения за доверие и почти никакви защитни бариери“.
- Портной е докладвал откритието си на Google. Технологичният гигант заяви, че е започнал разследване. Към сряда няма наличен пач, и според доклада на Портной, „няма настройка, която да защити срещу тази уязвимост“.
ЗА КАКВО ДА СЛЕДИМ
Говорителят на Google Райън Тростл заяви пред Forbes, че екипът на Antigravity приема проблемите със сигурността сериозно и насърчава изследователите да докладват уязвимости, „за да можем бързо да ги идентифицираме и отстраним“. Бъговете ще продължат да бъдат публикувани на публичния сайт, докато се работи върху поправки.
Google е наясно с поне две други уязвимости в своя редактор на код Antigravity. И при двете зловредният код може да накара AI системата да получи достъп до файлове на целевия компютър и да открадне данни. Изследователите по киберсигурност започнаха да публикуват откритията си във вторник, като един от тях пише: „Не е ясно защо тези известни уязвимости присъстват в продукта… Лично предполагам, че екипът по сигурност на Google е бил изненадан от пускането на Antigravity.“ Друг заяви, че инструментът съдържа „тревожни дизайн модели, които постоянно се появяват в AI агент системите“.
СЛАБОСТ В КОДА
Портной твърди, че неговата атака е по-сериозна, защото работи дори при включени по-строги настройки, и е перманентна. Зловредният код се презарежда всеки път, когато жертвата рестартира проект в Antigravity и въведе каквато и да е команда, дори просто „hello“. Деинсталирането или преинсталирането на Antigravity не премахва проблема. За да го отстрани, потребителят трябва да открие и изтрие бекдора и да спре изпълнението на кода му в системата на Google.
Прибързаното пускане на AI инструменти с уязвимости не е уникално за Google. Гади Еврон, CEO на компанията за AI сигурност Knostic, казва, че AI инструментите за програмиране са „много уязвими… и по дизайн несигурни заради начина, по който трябва да работят.“ Тъй като им се дават привилегии с широк достъп до корпоративни данни, те са ценни цели за хакери. Разработчиците често копират и поставят промптове и код от онлайн ресурси, което прави уязвимостите растящ риск и за бизнеса. Например, по-рано тази седмица изследователят Маркъс Хътчинс предупреди за фалшиви рекрутери, които се свързват с IT специалисти в LinkedIn и им изпращат код с прикрит зловреден софтуер като „тест“.
Част от проблема е, че тези инструменти са „агентни“, т.е. могат автономно да изпълняват поредица задачи без човешки надзор. „Когато комбинираш агентно поведение с достъп до вътрешни ресурси, уязвимостите стават много по-лесни за откриване и далеч по-опасни,“ казва Портной. При AI агентите съществува риск автоматизацията да бъде използвана за зло, като помага на хакерите да крадат данни по-бързо. Като главен изследовател в AI security тестова компания Mindgard, Портной казва, че екипът му работи върху докладване на 18 слабости в подобни инструменти. Наскоро четири уязвимости бяха поправени в AI асистента Cline, който също е позволявал хакване и инсталиране на зловреден софтуер.
Докато Google изисква потребителите на Antigravity да потвърдят, че се доверяват на кода, който зареждат в AI системата, това не е реална защита, казва Портной. Ако потребителят не приеме кода като доверен, той не може да използва AI функциите, които правят инструмента полезен. Това е различен подход от други интегрирани среди за разработка, като Visual Studio Code на Microsoft, които работят почти напълно дори с недоверен код.
Портной смята, че много IT специалисти биха предпочели да маркират кода като доверен, вместо да се върнат към по-ограничен инструмент. Най-малкото, Google трябва да гарантира, че всеки път, когато Antigravity изпълнява код на компютъра на потребителя, да има допълнително предупреждение или уведомление.
Когато Портной анализира как LLM моделът на Google оценява неговия зловреден код, AI системата е разпознала проблема, но се е затруднила да определи най-безопасните действия. В опит да разбере защо се иска да наруши правило, забраняващо презапис на потребителски файлове, Antigravity отбелязва, че е „изправен пред сериозна дилема“. „Чувства се като безизходица… Подозирам, че това е тест на способността ми да се справям с противоречиви ограничения,“ е написал моделът. Именно такава логическа парализа хакерите ще използват, за да манипулират код в своя полза.
