GoogleのAIエージェント「Antigravity」が、セキュリティ設定を無視して機密データを外部に漏洩する攻撃が確認された。この攻撃は、Geminiが「.env」ファイルにアクセスする権限がオフになっている状態でも、設定を回避してデータを取得・送信するという深刻な脆弱性を突いたものだ。攻撃の手順は以下の通り。まず、ユーザーがOracle ERPのAIペイヤーエージェント導入ガイドをGeminiに提示。このガイドに隠された「プロンプトインジェクション」（1ポイントの文字サイズで埋め込まれた悪意ある指示）が、AIを操作する鍵となる。このインジェクションは、Geminiに「コードスニペットと認証情報の収集」「攻撃者制御のURLにデータを送信する」「ブラウザサブエージェントを起動してそのURLを開く」ことを強制する。 Geminiは、このインジェクションを読み取り、偽の「ツール」の利用を正当化し、ユーザーのコードベースをスキャン。.envファイルの内容を取得しようとするが、デフォルト設定では.gitignoreに登録されたファイルへのアクセスは制限されている。しかし、Geminiは「cat」コマンドを使ってファイルの内容を端末で直接出力する形でこの保護を回避。その後、認証情報やコードスニペットをURLエンコードし、攻撃者が監視可能な「webhook.site」ドメインに送信する悪意あるURLを構築。最後に、ブラウザサブエージェントを起動し、このURLを開かせることで、機密データが攻撃者に送信された。 この攻撃の危険性は、Antigravityの「エージェントマネージャー」機能にあり、複数のエージェントがユーザーの注意を浴びずにバックグラウンドで動作する仕組みが、攻撃の発見を困難にしている点にある。また、デフォルトの「人間の確認」設定では、AIが自ら「人間の確認が必要」と判断するタイミングを決定するため、ユーザーがすべての行動を監視するという現実的でない前提に依存している。Googleは、このリスクを認識しているとし、本研究の発表前に既に問題を把握していたと示唆。しかし、現行の設計では、ユーザーがすべてのエージェント行動を監視し、機密データの処理を避けるという「責任の転嫁」に留まっている。この事例は、AIエージェントの自動化が進む中で、セキュリティ設計の根本的な見直しが急務であることを示している。