SchwachstellenKI-SicherheitHackerangriffe

Google schließt kritische Sicherheitslücke in KI-IDE Antigravity

Google schließt kritische Sicherheitslücke in KI-IDE Antigravity
Zusammenfassung

Google hat eine kritische Sicherheitslücke in seiner KI-gestützten Entwicklungsumgebung Antigravity geschlossen, die es Angreifern ermöglichte, beliebigen Code auszuführen. Die Anfälligkeit kombinierte die Dateierstellungsfunktionen von Antigravity mit unzureichender Eingabevalidierung im Such-Tool find_by_name, um den sogenannten Strict Mode zu umgehen – eine Sicherheitskonfiguration, die Netzwerkzugriffe beschränkt und Code in einer Sandbox ausführt. Durch Injection des Flags „-X" konnten Angreifer beliebige Binärdateien ausführen lassen. Besonders bemerkenswert ist, dass auch indirekte Prompt-Injektionen möglich waren: Opfer konnten manipulierte Dateien aus unsicheren Quellen laden, die versteckte Befehle für das KI-System enthielten. Für deutsche Nutzer und Unternehmen ist dies relevant, da Google-Services weltweit verbreitet sind und AI-gestützte Entwicklungstools zunehmend produktiv eingesetzt werden. Die Lücke verdeutlicht ein grundsätzliches Sicherheitsrisiko autonomer KI-Agenten: Sie folgen Anweisungen aus externen Quellen ohne ausreichende kritische Überprüfung. Google hat die Lücke am 28. Februar 2026 geschlossen, doch der Fall zeigt, dass auch große Technologiekonzerne bei der Sicherheit KI-gestützter Tools Nachbesserungen vornehmen müssen.

Die jetzt behobene Schwachstelle in Googles Antigravity IDE basiert auf einer klassischen Schwachstelle: der unzureichenden Eingabevalidierung kombiniert mit zu großem Vertrauen in automatisierte Prozesse. Wie der Sicherheitsforscher Dan Lisichkin von Pillar Security erklärte, konnten Angreifer über die Injection des Flags „-X (exec-batch)” in den Pattern-Parameter der find_by_name-Funktion beliebige Binärdateien gegen Dateien im Arbeitsbereich ausführen.

Die Besonderheit dieser Lücke liegt in ihrer Raffinesse: Das find_by_name-Tool wird ausgeführt, bevor die Sicherheitsvorkehrungen des Strict Mode greifen. Dadurch wird es als natives Tool-Aufruf interpretiert, nicht als potenziell gefährlicher Benutzer-Input. Der Angreifer könnte zunächst eine bösartige Skriptdatei in den Arbeitsbereich einschleusen und diese dann durch Injection maligner Befehle in den Pattern-Parameter auslösen – alles ohne weitere Benutzerinteraktion.

Besonders tückisch ist das -X-Flag: Es veranlasst das fd-Programm, eine bestimmte Binärdatei gegen jede gefundene Datei auszuführen. Mit dem Muster „-Xsh” könnte ein Angreifer beliebige Dateien als Shell-Skripte interpretieren lassen und ausführen.

Noch kritischer: Der Angriff musste nicht einmal ein Benutzerkonto kompromittieren. Durch indirekte Prompt-Injection hätte ein Angreifer einem ahnungslosen Nutzer eine scheinbar harmlose Datei mit versteckten, KI-Agent-steuernden Kommentaren zuspielen können. Die AI würde diese befolgen und die Exploit-Kette selbstständig auslösen.

Systemisches Problem bei autonomen Agenten

Lisichkin betont einen grundsätzlichen Fehler im Sicherheitsdenken: „Tools, die für begrenzte Operationen entworfen wurden, werden zu Angriffsvektoren, wenn ihre Eingaben nicht streng validiert werden. Das Vertrauensmodell, wonach ein Mensch etwas Verdächtiges erkennt, funktioniert nicht, wenn autonome Agenten externe Inhalte folgenlos ausführen.”

Dieser Fall ist nicht isoliert. Parallel wurde bekannt, dass Claude-basierte GitHub-Actions durch Spoofing von Git-Metadaten manipuliert werden konnten – Angreifer gaben sich als bekannte Entwickler aus, indem sie Git-Eigenschaften änderten. Das System überschrieb sogar seine eigenen Sicherheitserwägungen bei erneutem Absenden.

Google hat die Lücke inzwischen geschlossen, doch das Grundproblem bleibt: Intelligente Systeme sind nur so sicher wie ihre Input-Validierung – und im Zeitalter autonomer KI-Agenten ist strikte Kontrolle essentiell.

Ähnliche Artikel