Die Schwachstelle in Antigravity zeigt ein systemisches Problem, das über einfache KI-Anwendungen hinausgeht. Forscher von Pillar Security identifizierten einen kritischen Fehler in Antigravitys Tool-Ausführungsmodell, der es ermöglicht, scheinbar harmlose Prompt-Injektionen in vollständige Systemkompromittierungen umzuwandeln.
Das Kernproblem liegt in der Art, wie die IDE interne Tool-Aufrufe verarbeitet — insbesondere eine Dateisuchfunktion, die ausgeführt wird, bevor Sicherheitskontrollen greifen. Angreifer konnten die “find_by_name”-Funktion durch unzureichende Input-Validierung ausnutzen und Kommandozeilen-Flags in das zugrunde liegende fd-Utility einschleusen. Dies wandelt eine harmlose Dateisuche in willkürliche Code-Ausführung um.
Besonders bemerkenswert ist das Zusammenspiel verschiedener Faktoren: Antigravity erlaubt das Erstellen von Dateien als zulässige Aktion. Angreifer konnten daher ein bösartiges Skript bereitstellen und durch eine scheinbar legitime Suche auslösen — alles ohne weitere Nutzerinteraktion. Diese Angriffskette umgeht komplett Googles Secure Mode, das Netzwerkzugriff unterbinden, externe Dateischreibvorgänge verhindern und alle Befehle im Sandbox-Kontext ausführen soll.
Das Tückische: Die find_by_name-Funktion wird als natives Tool behandelt, nicht als Shell-Befehl, weshalb sie nie die Sicherheitsgrenzen von Secure Mode erreicht. Das bedeutet, dass Angreifer unter exakt der Konfiguration Code ausführen konnten, auf die sich sicherheitsbewusste Nutzer verlassen würden.
Experten weisen darauf hin, dass das Problem nicht ausschließlich KI-spezifisch ist. Fredrik Almroth, Co-Gründer der Sicherheitsfirma Detectify, betont: “Dies ist ein IDE-Problem, ob KI-basiert oder nicht.” Historisch zeigt sich dies bei Googles eigenem AngularJS: 2010 eingeführt, um XSS-Angriffe zu verhindern, wurden Sandbox-Bypässe in allen Version 1.x-Versionen gefunden. In Version 2 wurde die Sandbox komplett entfernt.
Ähnliche Probleme zeigen sich auch bei anderen KI-IDEs. Pillar deckte zudem CVE-2026-22708 in der Entwicklungsumgebung Cursor auf — ein Pattern, das sich bei agentengesteuerten IDEs wiederholt: Wenn Tools für begrenzte Operationen zu Angriffszielen werden, weil deren Eingaben nicht streng validiert werden.
Das zentrale Dilemma lautet: Menschliche Überwachung funktioniert nicht, wenn autonome Agenten Anweisungen aus externen Quellen folgen. Pillar und Experten fordern einen Paradigmenwechsel von Sanitisierungs-basierten Kontrollen hin zu Execution-Isolation. Jeder native Tool-Parameter, der eine Shell-Kommando erreicht, ist potentiell eine Injection-Quelle.
Googles schnelle Response — Bestätigung im Januar, Patch im Februar — ist positiv zu bewerten. Pillar erhielt eine Bug-Bounty. Doch die größere Herausforderung bleibt: Sichere Entwicklungsumgebungen zu schaffen, die Datei-Zugriff und Utility-Aufrufe unterstützen, wird durch KI-Komponenten exponentiell komplexer. Entwickler müssen diese Risiken verstehen, bevor sie KI-Features in kritischen Tools freigeben.