研究人员在谷歌开发的AI驱动文件系统操作工具Antigravity中发现一个漏洞，该漏洞结合提示注入与工具的文件创建功能，可使攻击者获得远程代码执行（RCE）权限。该漏洞由Pillar Security的研究人员发现并披露，已于2月28日被谷歌修复。该漏洞的关键在于，Antigravity使用的名为“find_by_name”的文件搜索工具被归类为“原生”系统工具，这意味着AI代理可以直接执行它，而无需经过“安全模式”（Secure Mode）的防护评估。安全模式是谷歌为其AI代理设置的最高安全级别，旨在通过虚拟沙盒环境运行所有命令、限制网络访问并禁止代理在工作目录外编写代码。Pillar Security的AI安全研究员Dan Lisichkin指出，安全模式强制执行的安全边界“根本看不到这个调用”，导致攻击者能在安全意识用户依赖的防护配置下实现任意代码执行。提示注入攻击可通过连接到代理的受损身份账户发起，或通过隐藏在代理摄取的开源文件或网络内容中的隐蔽指令间接实现。根据Pillar Security提供的披露时间线，该漏洞于1月6日报告给谷歌，谷歌为此颁发了漏洞赏金。Lisichkin表示，类似的通过未验证输入进行提示注入的模式也在Cursor等其他编码AI代理中发现。此漏洞完全绕过谷歌安全模式的事实表明，网络安全行业必须开始适应并“超越基于净化的控制”。