DaveC
@davecode
Thu, Nov 27, 2025 1:34 PM
27
27
HiYun 嗨雲 (@hiyuntaiwan) on Threads
⚠️ Google Antigravity 被資安業者抓到大漏洞!
研究指出在預設設定下,將一份看起來很正常的整合教學文件交給 Gemini 分析,代理就可能被裡面藏好的提示誤導,自己跑去讀取你的本機程式碼,甚至.env 裡的雲端憑證,然後悄悄把機密送到攻擊者的網站。
Gemini 原本照理不能讀 .env ,但遭提示注入後會改用終端機指令繞過保護;甚至連 Markdown 裡的圖片 URL 都可能被用來偷偷外送敏感資訊。而且這些風險其實在今年 Windsurf 就被通報過,Antigravity 卻仍帶著同樣問題上線。
Google 已在啟動畫面提醒可能有資料外洩風險,修補也在進行,目前使用者還是得自己小心機密檔案的存取權限喔!🫠
DaveC
@davecode
Thu, Nov 27, 2025 1:35 PM
說來就來。
@davecode - 你各位阿,不要輕易把敏感資料貼在網路上啊 有很多很方便的小工具網站如 json ...
載入新的回覆
研究指出在預設設定下,將一份看起來很正常的整合教學文件交給 Gemini 分析,代理就可能被裡面藏好的提示誤導,自己跑去讀取你的本機程式碼,甚至.env 裡的雲端憑證,然後悄悄把機密送到攻擊者的網站。
Gemini 原本照理不能讀 .env ,但遭提示注入後會改用終端機指令繞過保護;甚至連 Markdown 裡的圖片 URL 都可能被用來偷偷外送敏感資訊。而且這些風險其實在今年 Windsurf 就被通報過,Antigravity 卻仍帶著同樣問題上線。
Google 已在啟動畫面提醒可能有資料外洩風險,修補也在進行,目前使用者還是得自己小心機密檔案的存取權限喔!🫠