A medida que las organizaciones consideran la IA agente para sus negocios y sus pilas de TI, los investigadores continúan encontrando errores y vulnerabilidades en los principales modelos comerciales que pueden expandir significativamente su superficie de ataque.

Esta semana, investigadores de Pillar Security revelado una vulnerabilidad en Antigravity, una herramienta de desarrollo impulsada por IA para operaciones de sistemas de archivos creada por Google.

El error, parcheado desde entonces, combinaba la inyección rápida con la capacidad permitida de creación de archivos de Antigravity para otorgar a los atacantes privilegios de ejecución remota de código.

La investigación detalla cómo el exploit pudo eludir el modo seguro de Antigravity, la configuración de seguridad más alta de Google para sus agentes que ejecuta todas las operaciones de comando a través de un entorno de pruebas virtual, acelera el acceso a la red y prohíbe al agente escribir código fuera del directorio de trabajo.

Se supone que el modo seguro limita el acceso del agente de IA a sistemas sensibles y su capacidad para ejecutar actos maliciosos o peligrosos a través de comandos de shell. Pero una de las herramientas de búsqueda de archivos utilizadas por Antigravity, llamada «find_by_name», está clasificada como una herramienta del sistema «nativa». Esto significa que el agente puede ejecutarlo directamente y antes de que protecciones como el Modo seguro puedan incluso evaluar las operaciones a nivel de comando.

«El límite de seguridad que impone el Modo Seguro simplemente nunca ve esta llamada», escribió Dan Lisichkin, investigador de seguridad de IA de Pillar Security. «Esto significa que un atacante logra la ejecución de código arbitrario bajo la configuración exacta en la que confiaría un usuario preocupado por la seguridad para evitarlo».

Los ataques de inyección rápida se pueden realizar a través de cuentas de identidad comprometidas conectadas al agente, o indirectamente ocultando instrucciones clandestinas dentro de archivos de código abierto o contenido web que el agente ingiere. Antigravity tiene problemas para distinguir entre los datos escritos que ingiere para el contexto y las instrucciones literales, por lo que se puede lograr un compromiso sin ningún acceso elevado al hacer que lea un documento o archivo malicioso.

Según un cronograma de divulgación proporcionado por Pillar Security, el error se informó a Google el 6 de enero y se corrigió el 28 de febrero, y Google otorgó una recompensa por el descubrimiento.

Lisichkin dijo que este mismo patrón de inyección rápida a través de entradas no validadas se ha encontrado en otros agentes de codificación de IA como Cursor. En la era de la IA, cualquier entrada no validada puede convertirse en un mensaje malicioso capaz de secuestrar sistemas internos.

«El modelo de confianza que sustenta los supuestos de seguridad, de que un humano detectará algo sospechoso, no se sostiene cuando agentes autónomos siguen instrucciones de contenido externo», escribió.

El hecho de que la vulnerabilidad haya podido eludir por completo el modo seguro de Google subraya cómo la industria de la ciberseguridad debe comenzar a adaptarse y «ir más allá de los controles basados ​​en la desinfección».

«Cada parámetro de herramienta nativa que llega a un comando de shell es un punto de inyección potencial. La auditoría de esta clase de vulnerabilidad ya no es opcional y es un requisito previo para enviar funciones agentes de forma segura», escribió Lisichkin.