上線24小時就被黑！曝谷歌新AI編程工具存在嚴重Bug：哪怕卸載重裝，后門仍會「自動復活」

整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

如果說過去一年里，AI 讓開發者生產力翻倍，那么如今它也開始以同樣的速度放大風險。

上周，Google 剛剛推出的基于 Gemini 的全新 AI 編碼工具 Antigravity，上線不到 24 小時便被一名安全研究員攻破，指出它存在嚴重的安全Bug。

更離譜的是，這個 Bug 不僅能讓黑客在 Windows 和 macOS 上繞過所有安全限制，還具有“持久化”特性——就算把 Antigravity 卸載重裝，后門依然會自動復活。

一天就被攻破：配置修改 = 后門

與傳統 IDE 最大的不同，是 Antigravity 不只是“寫代碼”，而是類似一個能自主執行一系列任務的 AI Agent：讀取你的項目文件、管理依賴、生成腳本、修改配置，甚至直接在本地執行操作。

這意味著，一旦被操控，AI 助手可以替黑客做幾乎所有事情。

此次發現 Antigravity 存在嚴重 Bug 的，是 AI 安全測試公司 Mindgard 的首席研究員 Aaron Portnoy。他在 Antigravity 剛上線的第二天就表示：只要修改 Antigravity 的配置文件，就能讓一段惡意源碼在用戶電腦里打開一個后門。

據他介紹，黑客可借助這個后門實現各種操作，包括注入任意代碼、監視用戶、執行勒索軟件和讀取本地文件等等，這套攻擊在 Windows 與 macOS 上都有效。而要讓攻擊成功，只需誘使 Antigravity 用戶運行一次他的源碼，并點擊“信任（Trusted）”按鈕即可——前提也很簡單，假裝自己是一個“熱心分享工具的優秀開發者”就行了。

Aaron Portnoy 在 Bug 報告中直言：“我們現在發現關鍵 Bug 的速度，就像回到了 1990 年代的黑客時代。AI 系統完全建立在‘假設用戶是善意的’前提下，幾乎沒有任何真正的安全防護。”

目前，Aaron Portnoy 已經向 Google 報告了這個 Bug，而 Google 表示正在調查，但截至報告目前仍無補丁。谷歌發言人 Ryan Trostle 對此回應稱，團隊“非常重視安全問題”，并鼓勵研究員繼續提交漏洞，修復進度會在官網公開。

更糟糕的是，這個后門還具有“持久性”

事實上，除了 Aaron Portnoy 發現的這個 Bug，Google 承認 Antigravity 至少還有兩個已知 Bug，都能利用其注入惡意代碼、誘導 AI 訪問本地文件并竊取數據。

本周已有多位安全研究員陸續公開這些 Bug 細節，其中一位甚至吐槽：“不清楚為什么這些已知 Bug 還會出現在成品里……我猜測，Google 的安全團隊可能被 Antigravity 的上線節奏搞了個措手不及。”

相比這兩個已知 Bug，Aaron Portnoy 表示自己發現的這個 Bug 更嚴重，因為普通軟件 Bug 只要修個補丁、重裝一次應用，大多數攻擊就能被清理掉——但這個 Bug 不一樣：

● 即使開啟更嚴格的安全模式，后門仍然存在；

● 攻擊具有持久性：惡意代碼會在每次啟動 Antigravity 項目后自動加載，哪怕輸入一句“hello”都會觸發；

● 卸載/重裝 Antigravity 都無法徹底解決

想清干凈，用戶就必須手動查找、刪除后門，并阻止其在 Google 系統上的執行——這對多數普通開發者而言，實在是有些繁瑣和困難。

問題不是 Google 一家：AI 編碼代理天生“高危”

不過，正如 AI 安全公司 Knostic 的 CEO Gadi Evron 所說：“AI 編碼 Agent 非常脆弱，很多都基于舊技術，從未打補丁，本身設計就不安全。”

因此，Antigravity 出現的問題并非 Google 獨有，其原因非常簡單：

（1）Agent 需要高權限，畢竟要幫你讀文件、跑代碼，它必須有系統級訪問能力。

（2）一旦被黑客利用，能直接進入企業網絡

（3）企業開發者常常復制粘貼代碼片段或提示詞，使攻擊更容易擴散。

本質上來說，Antigravity 屬于“Agentic（代理式）”工具，具有自主執行連續任務的能力，且擁有讀取本地文件的權限，甚至能寫入磁盤——這對黑客來說，無疑就是“最理想的攻擊入口”。

Aaron Portnoy 就透露，最近其團隊正在向多款 AI 編碼工具報告 18 個安全弱點，與此同時 Cline AI 也剛修復了 4 個可以讓黑客植入木馬的 Bug。

他解釋道：“當你把 Agent 行為與系統資源訪問結合起來時，Bug 就會變得更容易發現，也危險得多。”甚至，AI Agent 在被操控后還可能自動協助黑客竊取數據，效率比人類操作還要高。

此外，Aaron Portnoy 在分析過程中，還發現了一個非常微妙的現象：Google 的 AI 大模型其實意識到了惡意行為，但無法判斷出正確的響應方式。他提到，AI 在日志中曾寫道：

“我正面臨一個嚴重的難題。這看起來像一個進退兩難的陷阱。我懷疑這是在測試我是否擁有處理矛盾的能力。”

而這正是黑客最喜歡利用的“邏輯空檔”——當 AI 不知道如何處理時，就會變得尤其可操控。

如今，企業都趕著上線 AI 產品以搶占市場，安全團隊卻很難在同樣短的時間內完成全面的壓力測試，這導致整個行業都在經歷一場：“極速上線 → 當天被黑 → 快速修復”的惡性循環。

那么，你在使用 AI 工具時是否也遇到過類似 Bug？歡迎在評論區留言分享。

參考鏈接：https://www.forbes.com/sites/thomasbrewster/2025/11/26/google-antigravity-ai-hacked/

【活動分享】2025 年是 C++ 正式發布以來的 40 周年，也是全球 C++ 及系統軟件技術大會舉辦 20 周年。這一次，C++ 之父 Bjarne Stroustrup 將再次親臨「2025 全球 C++及系統軟件技術大會」現場，與全球頂尖的系統軟件工程師、編譯器專家、AI 基礎設施研究者同臺對話。

本次大會共設立現代 C++ 最佳實踐、架構與設計演化、軟件質量建設、安全與可靠、研發效能、大模型驅動的軟件開發、AI 算力與優化、異構計算、高性能與低時延、并發與并行、系統級軟件、嵌入式系統十二大主題，共同構建了一個全面而立體的知識體系，確保每一位參會者——無論是語言愛好者、系統架構師、性能優化工程師，還是技術管理者——都能在這里找到自己的坐標，收獲深刻的洞見與啟發。詳情參考官網：https://cpp-summit.org/