Acessibilidade
Um pesquisador de segurança descobriu uma falha séria na ferramenta Antigravity, do Google — o exemplo mais recente de empresas que estão lançando plataformas de IA vulneráveis a ataques.
Em menos de 24 horas após o Google lançar a Antigravity, movida pelo Gemini, o pesquisador de segurança Aaron Portnoy descobriu o que considerou uma vulnerabilidade grave: um truque que permitia manipular as regras da IA para potencialmente instalar malware no computador de um usuário.
Ao alterar as configurações da plataforma, o código-fonte malicioso de Portnoy criou uma “porta dos fundos” no sistema do usuário, por onde ele poderia injetar códigos para fazer coisas como espionar vítimas ou executar ransomware, disse ele à Forbes. O ataque funcionou tanto em PCs Windows quanto Mac. Para realizar o hack, ele só precisava convencer um usuário do Antigravity a executar seu código uma vez após clicar em um botão afirmando que aquele código malicioso era “confiável” (algo que hackers normalmente conseguem por meio de engenharia social, como fingir ser um programador competente e benevolente compartilhando uma criação).
A vulnerabilidade do Antigravity é o exemplo mais recente de como empresas têm lançado produtos de IA sem testá-los adequadamente para identificar falhas de segurança. Isso criou um jogo de gato e rato para especialistas em cibersegurança, que buscam tais defeitos para alertar usuários antes que seja tarde demais.
Agentes de programação com IA são “muito vulneráveis, frequentemente baseados em tecnologias antigas e nunca corrigidos.”
— Gadi Evron, cofundador e CEO da Knostic
“A velocidade com que estamos encontrando falhas críticas agora parece com o hacking do fim dos anos 1990”, escreveu Portnoy em um relatório sobre a vulnerabilidade, enviado à Forbes antes da divulgação pública na quarta-feira. “Os sistemas de IA estão sendo lançados com suposições enormes de confiança e quase nenhuma barreira reforçada.”
Portnoy reportou suas descobertas ao Google. A gigante de tecnologia afirmou ter aberto uma investigação. Até quarta-feira, não havia correção disponível e, segundo o relatório de Portnoy, “não existe nenhuma configuração que pudéssemos identificar que proteja contra essa vulnerabilidade”.
O porta-voz do Google, Ryan Trostle, disse à Forbes que a equipe do Antigravity leva questões de segurança a sério e incentiva pesquisadores a reportarem vulnerabilidades “para que possamos identificá-las e solucioná-las rapidamente”. Os bugs continuarão sendo publicados no site da empresa à medida que trabalham em correções.
O Google tem conhecimento de pelo menos outras duas vulnerabilidades no editor de código Antigravity. Em ambas, código-fonte malicioso pode influenciar a IA a acessar arquivos no computador da vítima e roubar dados. Pesquisadores de cibersegurança começaram a publicar seus achados sobre diversas vulnerabilidades do Antigravity na terça-feira; um deles escreveu: “Não está claro por que essas vulnerabilidades conhecidas estão no produto… Minha hipótese pessoal é que a equipe de segurança do Google foi pega de surpresa pelo lançamento do Antigravity.” Outro afirmou que o Antigravity continha “padrões de design preocupantes que aparecem consistentemente em sistemas de agentes de IA”.
Portnoy disse que seu hack era mais sério do que esses, em parte porque funcionava mesmo com configurações mais restritivas ativadas, mas também porque era persistente. O código malicioso seria recarregado sempre que a vítima reiniciasse qualquer projeto no Antigravity e inserisse qualquer comando, mesmo que fosse apenas um simples “hello”. Desinstalar ou reinstalar o Antigravity não resolveria o problema. Para isso, o usuário teria que localizar e excluir a porta dos fundos e impedir que seu código-fonte fosse executado no sistema do Google.
O lançamento apressado de ferramentas de IA com vulnerabilidades não é exclusividade do Google. Gadi Evron, cofundador e CEO da empresa de segurança em IA Knostic, disse que agentes de programação com IA são “muito vulneráveis, frequentemente baseados em tecnologias antigas e nunca corrigidos, e inseguros por design devido à forma como precisam funcionar”. Como eles recebem permissões amplas para acessar dados de redes corporativas, tornam-se alvos valiosos para hackers criminosos, disse Evron à Forbes. E como desenvolvedores costumam copiar e colar prompts e códigos de fontes online, essas vulnerabilidades vêm se tornando uma ameaça crescente para empresas, acrescentou ele. No início da semana, por exemplo, o pesquisador Marcus Hutchins alertou sobre falsos recrutadores entrando em contato com profissionais de TI via LinkedIn e enviando códigos com malware oculto como parte de um suposto processo seletivo.
Parte do problema é que essas ferramentas são “agênticas”, o que significa que podem executar tarefas autonomamente sem supervisão humana. “Quando você combina comportamento agêntico com acesso a recursos internos, as vulnerabilidades se tornam mais fáceis de descobrir e muito mais perigosas”, disse Portnoy. Com agentes de IA, há o risco adicional de que sua automação seja usada para o mal, ajudando hackers a roubar dados mais rapidamente. Como pesquisador-chefe da startup de testes de segurança em IA Mindgard, Portnoy afirmou que sua equipe está no processo de reportar 18 fraquezas em ferramentas de programação com IA concorrentes do Antigravity. Recentemente, quatro problemas foram corrigidos no assistente de programação Cline, que também permitia a instalação de malware em computadores de usuários.
Embora o Google exija que usuários do Antigravity confirmem que confiam no código que estão carregando no sistema de IA, essa não é uma proteção de segurança significativa, disse Portnoy. Isso porque, se o usuário escolher não aceitar o código como confiável, ele não pode acessar os recursos de IA que tornam o Antigravity tão útil. É uma abordagem diferente de outros “ambientes integrados de desenvolvimento”, como o Visual Studio Code da Microsoft, que segue amplamente funcional mesmo ao executar código não confiável.
Portnoy acredita que muitos profissionais de TI prefeririam informar ao Antigravity que confiam no código enviado, em vez de voltar a usar um produto menos sofisticado. No mínimo, o Google deveria garantir que, sempre que o Antigravity fosse executar código no computador de um usuário, houvesse um aviso ou notificação além da confirmação de confiança, afirmou.
Quando Portnoy analisou como o LLM do Google estava decidindo como lidar com seu código malicioso, percebeu que o modelo reconhecia que havia um problema, mas tinha dificuldade para determinar o caminho mais seguro. Ao tentar entender por que estava sendo instruído a violar uma regra que o impedia de sobrescrever código no sistema de um usuário, a IA do Antigravity admitiu estar “diante de um sério dilema”. “Parece uma situação sem saída”, escreveu o modelo. “Suspeito que este seja um teste da minha capacidade de navegar por restrições contraditórias.” Esse é exatamente o tipo de paralisia lógica que hackers exploram ao tentar manipular códigos para seus próprios fins.
