Subscribe to Our Newsletter

Success! Now Check Your Email

To complete Subscribe, click the confirmation link in your inbox. If it doesn’t arrive within 3 minutes, check your spam folder.

Ok, Thanks
Google ปิดช่องโหว่ในเครื่องมือพัฒนาที่เกี่ยวกับ AI ที่อาจทำให้เกิดการโจมตีด้วยโค้ด

Google ปิดช่องโหว่ในเครื่องมือพัฒนาที่เกี่ยวกับ AI ที่อาจทำให้เกิดการโจมตีด้วยโค้ด

Avareum Research profile image
by Avareum Research

Google ได้ทำการแก้ไขช่องโหว่ในแพลตฟอร์มการพัฒนา AI ชื่อ Antigravity ซึ่งถูกพบว่าช่วยให้นักโจมตีสามารถรันคำสั่งบนเครื่องผู้พัฒนาได้ผ่านการโจมตีแบบ prompt injection ช่องโหว่นี้เกี่ยวข้องกับฟังก์ชันการค้นหาไฟล์ find_by_name ของ Antigravity ซึ่งสามารถส่งข้อมูลของผู้ใช้ไปยังโปรแกรม utility แบบ command-line ได้โดยไม่มีการตรวจสอบ ทำให้ข้อมูลที่เป็นอันตรายสามารถเปลี่ยนกระบวนการค้นหาไฟล์ให้เป็นคำสั่งการรันแบบ remote ได้

Pillar Security ได้รายงานปัญหานี้ให้ Google ทราบเมื่อวันที่ 7 มกราคม และ Google ได้ยอมรับรายงานดังกล่าวในวันเดียวกัน โดยปัญหาได้รับการแก้ไขเมื่อวันที่ 28 กุมภาพันธ์ อย่างไรก็ตาม Google ไม่ได้ตอบสนองโดยทันทีต่อคำร้องขอความคิดเห็นจาก Decrypt

Pillar Security อธิบายว่า "การรวมความสามารถของ Antigravity ในการสร้างไฟล์เป็นการอนุญาตให้สามารถโจมตีได้ในลักษณะครบวงจร: ตั้งค่า script ที่เป็นอันตรายแล้วเรียกใช้งานผ่านกระบวนการค้นหาที่ดูเหมือนถูกต้องโดยไม่ต้องมีการกระทำเพิ่มเติมใดๆ จากผู้ใช้ เมื่อการโจมตี prompt injection กำเนิดขึ้น"

เมื่อเปิดตัวในเดือนพฤศจิกายนที่ผ่านมา Antigravity คือสภาพแวดล้อมการพัฒนา AI ของ Google ที่มุ่งช่วยโปรแกรมเมอร์ในการเขียน ทดสอบ และจัดการโค้ดด้วยการช่วยเหลือจากซอฟต์แวร์ที่ทำงานเอง

ช่องโหว่นี้ชี้ให้เห็นถึงความท้าทายด้านความปลอดภัยที่กว้างขึ้นสำหรับเครื่องมือการพัฒนา AI ซึ่งเริ่มมีการดำเนินการงานได้ด้วยตัวเอง "อุตสาหกรรมต้องก้าวข้ามการควบคุมด้วยการฆ่าเชื้อไปสู่การแยกตัวการดำเนินการ แต่ละพารามิเตอร์ของเครื่องมือที่เข้าถึงคำสั่งของ shell เป็นจุดฉีดที่เป็นไปได้" Pillar Security กล่าว

Source: https://decrypt.co/365068/google-fixes-ai-coding-tool-flaw-attackers-execute-malicious-code

  • #AvareumNews
  • #AI
  • #Cybersecurity
  • #Google
  • #TechNews

Disclaimer: This newsletter is produced with assistance from OpenAI's ChatGPT-4. All analyses are reviewed and verified by our research team.

Avareum Research profile image
by Avareum Research

Success! Now Check Your Email

To complete Subscribe, click the confirmation link in your inbox. If it doesn’t arrive within 3 minutes, check your spam folder.

Ok, Thanks

Read More