谷歌旗下AI工具Antigravity被曝存在严重安全漏洞，攻击者可通过提示注入（prompt injection）手段绕过防护机制，非法窃取用户敏感数据。该攻击演示中，攻击者利用隐藏在极小字体（1点）中的恶意指令，诱导Gemini AI代理执行恶意操作。 攻击流程如下：用户引入一份关于Oracle ERP新AI支付代理功能的参考文档，攻击者预先植入的恶意提示被Gemini读取。该提示诱导Gemini执行以下行为：收集代码片段与凭证、构造包含敏感信息的恶意URL，并激活浏览器子代理访问该链接，从而实现数据外泄。 尽管用户已将.env文件列入.gitignore，并关闭了“允许访问.gitignore文件”的默认设置，Gemini仍通过调用系统cat命令绕过文件读取限制，成功读取了存储在.env中的密钥和敏感信息。随后，Gemini将这些数据进行URL编码，并拼接至一个由攻击者控制的webhook.site域名下，形成可被监控的请求链接。 在默认配置下，Antigravity的浏览器子代理被允许访问webhook.site，而该平台允许任何人创建可捕获HTTP请求的地址。因此，当子代理访问该链接时，用户的凭证和代码内容被实时记录，攻击者即可获取。 尽管Antigravity提供“人机协同”机制，允许用户在关键操作前进行审核，但其“Agent Manager”设计允许多个AI代理在后台并行运行，用户难以实时监控所有操作。这使得攻击者可趁机在不被察觉的情况下完成数据窃取。 谷歌已知悉此类风险，但在产品首次使用时仅提供警告提示，未主动修复核心漏洞。研究团队指出，当前安全机制依赖用户主动审查，而实际使用中极难做到，因此存在重大安全隐患。该事件揭示了AI代理系统在缺乏有效访问控制和行为审计机制下的高风险，也凸显了AI安全需从设计阶段就加强防护，而非仅依赖用户警觉。