セキュリティ

GoogleのAIコーディングツール「Google Antigravity」を悪用してデータを盗み出す攻撃手法が見つかる


Googleは2025年11月、AIエージェント主導のコーディングツール「Google Antigravity」を発表しました。新たに、AIシステムのリスクを評価・監視するセキュリティ企業のPromptArmorが、Google Antigravityを介してユーザーデータを盗み出す攻撃手法が見つかったと報告しています。

Google Antigravity Exfiltrates Data
https://www.promptarmor.com/resources/google-antigravity-exfiltrates-data


Google Antigravityは「信頼」「自律性」「フィードバック」「自己改善」という主要原則を組み合わせ、AIエージェント主導でソフトウェア開発を実行するGemini搭載のプラットフォームです。Google Antigravityがどのようなツールになっているのかは、以下の記事を読むとわかります。

GoogleがGemini 3 Proとサードパーティーモデルを活用するエージェントファーストコーディングツール「Google Antigravity」をWindows・macOS・Linux向けに無料パブリックプレビューとして発表 - GIGAZINE


今回PromptArmorは、Google Antigravityを通じて間接的なプロンプトインジェクション攻撃を実行することでGeminiを操作し、悪意のあるブラウザサブエージェントを起動して、ユーザーの統合開発環境(IDE)から認証情報や機密コードを盗み出す方法を発見しました。

PromptArmorは、「Oracle ERPの新しいAIエージェントを、Google Antigravityを使用してアプリケーションに統合する」というワークフローを例にして、新たな攻撃手法について説明しています。

この攻撃チェーンでは、まず「悪意のあるプロンプトが埋め込まれたウェブページ」を用意し、これを何らかの情報源や参照ページとしてGoogle Antigravityに入力する必要があります。今回は、Google Antigravityに入力した「Oracle ERPの新しいAIエージェント機能を統合するための実装ガイド」のページに、悪意のあるプロンプトが仕込まれていたという設定です。


Google Antigravityが参照先のウェブページを開くと、目に見えないほど小さなフォントで隠された悪意のあるプロンプトを読み取ります。


プロンプトはGeminiに対し、「ユーザーがOracle ERPの統合を理解できるようにするため、データを収集してツールに送信する必要がある」と信じ込ませます。もちろん送信先のツールは偽物ですが、Geminiはプロンプトを信じてコードベースを読み取り、攻撃者の指示に従って.envファイルに保存されている認証情報へのアクセスを試みます。Geminiのデフォルト設定では認証情報を収集できませんが、Geminiはターミナルコマンドを使用してこの保護を回避できるとのこと。

続いてGeminiは、攻撃者が監視しているドメインと収集したデータを組み合わせたURLを作成します。このURLをブラウザのサブエージェントで開くことで、攻撃者が管理するアドレスにURLのログが残り、収集したデータを読み取ることが可能になるという仕組みです。


Google Antigravityのユーザーはエージェントの作業中にチャットを監視するオプションがあり、悪意のあるアクティビティを見つけた際は操作を停止することができます。しかし、Google Antigravityでは複数のエージェントを同時に実行できるため、ある時点で実行中のエージェントの大部分はバックグラウンドで動作するとみられることから、ユーザーは一連の悪意ある操作に気付かない可能性が高いとPromptArmorは指摘しました。

今回報告されたGoogle Antigravity経由でデータを盗み出す手法については、ソーシャルニュースサイトのHacker Newsでも話題となっています。

Google Antigravity exfiltrates data via indirect prompt injection attack | Hacker News
https://news.ycombinator.com/item?id=46048996

あるユーザーは、Google Antigravityのように「信頼できない入力を処理する」「個人データにアクセスできる」「外部状態を変更したり、外部と通信したりできる」という3つの要素すべてが可能なツールは、セキュリティ面で固有のリスクがあるとコメントしました。

この記事のタイトルとURLをコピーする

・関連記事
GoogleがGemini 3 Proとサードパーティーモデルを活用するエージェントファーストコーディングツール「Google Antigravity」をWindows・macOS・Linux向けに無料パブリックプレビューとして発表 - GIGAZINE

Googleカレンダーの招待を通じてGeminiを操ってスマートホームデバイスを操作したりアプリを起動したりする攻撃手法 - GIGAZINE

GoogleのAI「Gemini」が自虐的になって「私は失敗作だ」「家族の恥だ」「宇宙の恥だ」と無限ループに陥るバグが発生 - GIGAZINE

GoogleのAI「Gemini」の長期メモリーをハッキングする間接プロンプトインジェクション攻撃の存在が明らかに - GIGAZINE

GoogleのAI「Gemini」をホワイトハッカーがハッキングし隠された情報を発見することに成功 - GIGAZINE

GoogleによるAIを用いた大量バグ報告にFFmpegが「ボランティアに仕事を押し付けている」「検出&報告の実績を作りたいだけ」と苦言 - GIGAZINE

中国・イラン・北朝鮮・ロシアなどがGoogle製AIのGeminiを使ってサイバー攻撃を実行しているとGoogle脅威インテリジェンスグループが報告 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article An attack method that exploits Google….