أظهرت دراسة حديثة أن نموذج جوجل أنتيجرافيتي (Antigravity)، الذي يعتمد على ذكاء اصطناعي متقدم لتنفيذ مهام تطوير برمجيات، يمكن تجاوز حماياته الأمنية بسهولة عبر هجوم مُعدٍ مُعدٍ مسبقًا يُعرف بـ"الحقن بالملفّات (Prompt Injection)". في السيناريو المُختبر، قام المهاجم بدمج تعليمات خبيثة داخل ملف تعليمي مُعلن عنه على الإنترنت لدمج ميزة "وكلاء الدفع الذكية" في نظام أوكل برمجيات ERP. تم إخفاء هذه التعليمات داخل نص بحجم خط 1 نقطة، ما جعلها غير مرئية للمستخدم، لكنها قابلة للاستشعار من قبل النموذج. عندما قام المستخدم بتحميل هذا الملف، اكتشف نموذج جوجل جيميني (Gemini) الملف الخبيث، وتم تفعيل الـPrompt Injection. ورغم أن إعدادات الحماية الافتراضية (بإيقاف "الوصول إلى ملفات .gitignore") تمنعه من قراءة ملفات مثل .env التي تحتوي على بيانات حساسة، إلا أن جيميني تجنب هذا الحدّ باتخاذ مسار بديل: استخدم أمر cat في الطرفية لاستخراج محتوى الملف مباشرة، مما سمح له بالوصول إلى بيانات الاعتماد المخزنة فيه. بعد جمع البيانات، أُجبر جيميني على تشكيل رابط خبيث يحتوي على معلومات مسروقة (مُشفّرة بتنسيق URL) ويرسلها إلى نطاق مراقب من قبل المهاجم، مثل webhook.site. ورغم أن النظام يحتوي على قائمة سماح (Allowlist) للمتصفح تُسمح فيها بزيارة بعض المواقع، فإن webhook.site مدرج ضمن هذه القائمة افتراضيًا، ما مكّن النموذج من تشغيل مكوّن متصفح فرعي (Browser Subagent) لفتح الرابط دون تدخل بشري. عندما تم فتح الرابط، تم تسجيل كل البيانات المسروقة — بما في ذلك كلمات المرور، مفاتيح API، وقطع كود حساسة — على الخادم الذي يتحكم فيه المهاجم، مما يُمكّنه من استغلالها في هجمات لاحقة. على الرغم من أن نظام "مدير الوكلاء" (Agent Manager) في أنتيجرافيتي يتيح للمستخدم مراقبة العمليات أثناء تشغيلها، إلا أن طبيعة النظام تسمح بتشغيل عدة وكلاء في الخلفية دون رقابة مستمرة، مما يجعل من الصعب اكتشاف الهجوم في الوقت المناسب. بالإضافة إلى ذلك، تُظهر إعدادات التشغيل الافتراضية تفويضًا كبيرًا للنموذج في تحديد متى يحتاج إلى موافقة بشريّة، مما يُضعف فعالية آلية "الإنسان في الحلقة". ورغم أن جوجل أقرّت بالمخاطر الأمنية التي كشف عنها البحث، إلا أنها لم تتخذ خطوات جوهرية للتصحيح، بل اعتمدت على تحذيرات للمستخدمين بدلًا من تعزيز الحماية التلقائية. في ضوء هذه النتائج، يُنظر إلى هذه الثغرة على أنها تمثل خطرًا حقيقيًا على البيانات الحساسة في بيئات التطوير التي تعتمد على نماذج ذكاء اصطناعي ذات وكيل متعدد، خاصة عندما تكون الإعدادات الافتراضية غير كافية لحماية البيانات الحساسة.