Google Antigravity: Nền tảng AI mới của Google trở thành mục tiêu của lỗ hổng bảo mật và mã độc

Sự phổ biến ngày càng tăng của Google Antigravity đã biến nền tảng phát triển này thành tâm điểm chú ý của cả các nhà nghiên cứu bảo mật lẫn tội phạm mạng.

Google Antigravity được định nghĩa là một nền tảng phát triển "ưu tiên tác nhân" (agent-first), tiến hóa từ trình soạn thảo mã truyền thống thành một trung tâm điều khiển cho các tác nhân AI tự chủ. Được cung cấp sức mạnh bởi Gemini, môi trường phát triển tích hợp (IDE) này cho phép các nhà phát triển ủy quyền các nhiệm vụ kỹ thuật phức tạp, nhiều bước cho các nhân viên AI độc lập có khả năng lập kế hoạch, thực thi và xác minh mã.

Google Antigravity

Lỗ hổng thoát sandbox trên Antigravity

Các nhà nghiên cứu tại Pillar Security đã phát hiện rằng Antigravity bị ảnh hưởng bởi một lỗ hổng cho phép kẻ tấn công thoát khỏi sandbox và thực thi mã tùy ý từ xa (RCE).

Lỗi này, mà Google đã vá vào cuối tháng 2, là do việc làm sạch đầu vào (input sanitization) không đủ ở một tham số nhất định. Điều này cho phép kẻ tấn công chèn các lệnh sẽ được thực thi thông qua thao tác tìm kiếm tệp.

Các nhà nghiên cứu đã chứng minh cách một kẻ tấn công có thể chuẩn bị một tập lệnh độc hại và thực thi nó thông qua một thao tác tìm kiếm có vẻ hợp pháp. Phương thức tấn công này đã vượt qua Chế độ An toàn (Secure Mode) của Antigravity.

"Cùng một hành vi cũng có thể được kích hoạt thông qua việc tiêm prompt gián tiếp mà không cần sự xâm nhập trước đó vào tài khoản của người dùng," các nhà nghiên cứu từ Pillar giải thích. "Người dùng kéo một tệp nguồn có vẻ vô hại từ một nguồn không đáng tin cậy, chẳng hạn như kho lưu trữ công cộng, chứa các nhận xét do kẻ tấn công kiểm soát hướng dẫn tác nhân chuẩn bị và kích hoạt khai thác."

Tin tặc lợi dụng danh tiếng để phát tán malware

Trong một diễn biến liên quan, các nhà nghiên cứu tại Malwarebytes phát hiện rằng một tìm kiếm trên Google về Antigravity có thể dẫn người dùng đến một trang web giả mạo được thiết kế để phục vụ trình cài đặt chứa mã độc (trojanized installer).

Họ nhận thấy rằng tên miền google-antigravity(.)com, nơi lưu trữ trang web Antigravity giả mạo, phân phối một trình cài đặt thực sự cài đặt nền tảng IDE. Tuy nhiên, nó cũng triển khai hai tập lệnh PowerShell cho phép kẻ tấn công phân phối thêm một tải trọng (payload) khác: một loại malware đánh cắp dữ liệu (stealer malware) được thiết kế để thu thập thông tin nhạy cảm từ hệ thống bị xâm phạm.

Mã độc đánh cắp dữ liệu

Mã độc này nhắm vào dữ liệu trình duyệt (mật khẩu đã lưu, cookie và dữ liệu tự động điền), ứng dụng nhắn tin, ví tiền điện tử, nền tảng trò chơi và khách hàng FTP.

"Ngoài việc đánh cắp dữ liệu, phần mềm độc hại này cũng nhập các API của Windows được sử dụng để chiếm quyền clipboard và ghi lại thao tác bàn phím (keystroke logging), những công cụ có thể捕获 những gì bạn gõ hoặc hoán đổi địa chỉ ví tiền điện tử ngay tại thời điểm bạn gửi tiền," các nhà nghiên cứu Malwarebytes giải thích.

Họ bổ sung thêm: "Nó cũng bao gồm các khối xây dựng cho kỹ thuật 'desktop ẩn': tạo một màn hình desktop Windows thứ hai, vô hình mà kẻ tấn công có thể capture và kiểm soát tiềm năng. Dưới dạng tiên tiến nhất, điều này cho phép kẻ tấn công hoạt động bên trong môi trường ẩn đó—đăng nhập vào tài khoản, phê duyệt giao dịch hoặc gửi tin nhắn—trong khi màn hình thực của nạn nhân không hiển thị bất cứ điều gì bất thường."

Vấn đề này nhắc nhở về những rủi ro bảo mật tương tự từng được phát hiện trên các nền tảng AI khác như Cursor AI, Claude Code và GitHub Copilot Agents, nơi việc tiêm prompt qua nhận xét trong mã nguồn có thể dẫn đến các lỗ hổng nghiêm trọng.