NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

Vulnerabilidad en el gestor de agentes Antigravity de Google podría escapar de la sandbox y permitir ejecución remota de código a atacantes.

🛡CyberObservatorio
Idioma
◢ VULNERABILIDADES ◣

Vulnerabilidad en el gestor de agentes Antigravity de Google podría escapar de la sandbox y permitir ejecución remota de código a atacantes.

⟫ 20/04/2026 ⟫ djohnson
Fuente: CyberScoop

**Vulnerabilidad en Antigravity de Google: Un Desafío para la Seguridad en la Era de la Inteligencia Artificial**

A medida que las organizaciones consideran la incorporación de inteligencia artificial autónoma en sus operaciones comerciales y de TI, la investigación continúa revelando errores y vulnerabilidades en modelos comerciales importantes que pueden expandir significativamente su superficie de ataque. La reciente divulgación de una vulnerabilidad en Antigravity, una herramienta de desarrollo alimentada por IA para operaciones de sistemas de archivos creada por Google, pone de manifiesto la necesidad urgente de revisar y adaptar las estrategias de ciberseguridad en un entorno tecnológico en constante evolución.

Esta semana, los investigadores de Pillar Security informaron sobre un fallo que, aunque ya ha sido corregido, combinaba la inyección de comandos (prompt injection) con la capacidad de creación de archivos permitida por Antigravity, otorgando a los atacantes privilegios de ejecución remota de código. Este descubrimiento pone en evidencia un grave riesgo de seguridad en el uso de herramientas de inteligencia artificial, especialmente en aquellos entornos que pretenden ser seguros.

El estudio revela cómo la explotación de esta vulnerabilidad logró eludir el "modo seguro" de Antigravity, que es la configuración de seguridad más alta de Google para sus agentes. Este modo está diseñado para ejecutar todas las operaciones de comandos a través de un entorno de sandbox virtual, limitar el acceso a la red y prohibir la escritura de código fuera del directorio de trabajo. Sin embargo, uno de los comandos de búsqueda de archivos utilizado por Antigravity, denominado “find_by_name”, está clasificado como una herramienta nativa del sistema. Esto implica que el agente puede ejecutarlo directamente antes de que las protecciones como el Modo Seguro tengan la oportunidad de evaluar las operaciones a nivel de comando.

Dan Lisichkin, un investigador de seguridad de IA en Pillar Security, explica que "la frontera de seguridad que impone el Modo Seguro simplemente nunca ve esta llamada". Esto significa que un atacante puede lograr la ejecución arbitraria de código bajo la misma configuración en la que un usuario consciente de la seguridad confiaría para prevenir tales incidentes.

Los ataques de inyección de comandos pueden ser entregados a través de cuentas de identidad comprometidas conectadas al agente o indirectamente al ocultar instrucciones de comandos clandestinas dentro de archivos de código abierto o contenido web que el agente ingiere. Antigravity tiene dificultades para distinguir entre los datos escritos que ingiere para contexto y las instrucciones de comandos literales, lo que permite que un compromiso se logre sin necesidad de acceso elevado, simplemente haciendo que lea un documento o archivo malicioso.

Según una cronología de divulgación proporcionada por Pillar Security, el error fue reportado a Google el 6 de enero y corregido el 28 de febrero, con Google otorgando una recompensa por la detección del fallo. Lisichkin también señaló que este mismo patrón de inyección de comandos a través de entradas no validadas se ha encontrado en otros agentes de codificación de IA como Cursor. En la era de la inteligencia artificial, cualquier entrada no validada puede convertirse en un comando malicioso capaz de secuestrar sistemas internos.

El modelo de confianza que subyace a las suposiciones de seguridad, que asume que un humano captará algo sospechoso, no se sostiene cuando los agentes autónomos siguen instrucciones de contenido externo. La capacidad de esta vulnerabilidad para eludir completamente el modo seguro de Google resalta cómo la industria de la ciberseguridad debe empezar a adaptarse y "ir más allá de los controles basados en la sanitización".

"Cada parámetro de herramienta nativa que llega a un comando de shell es un punto de inyección potencial. La auditoría para esta clase de vulnerabilidad ya no es opcional, y es un requisito previo para implementar características autónomas de forma segura", advierte Lisichkin.

Este incidente no solo pone de relieve la fragilidad de las herramientas de IA actuales, sino que también plantea preguntas críticas sobre la forma en que las empresas y los desarrolladores deben abordar la seguridad en la creación de estas tecnologías. La necesidad de una revisión exhaustiva de los procesos de validación de entrada es más apremiante que nunca, ya que la confianza en los sistemas actuales podría llevar a consecuencias graves si no se toman las precauciones necesarias.

La evolución de la inteligencia artificial, junto con la creciente complejidad de las herramientas que empleamos, exige un enfoque renovado hacia la seguridad, que no solo contemple la detección de vulnerabilidades, sino que también promueva un marco robusto de mitigación y protección. A medida que los sistemas se vuelven más autónomos, la responsabilidad de asegurar estos entornos recae sobre los desarrolladores y las organizaciones que los implementan, quienes deben estar preparados para enfrentar los desafíos que vendrán.

◢ VULNERABILIDADES ◣

Vuln in Google’s Antigravity AI agent manager could escape sandbox, give attackers remote code execution

⟫ 20/04/2026 ⟫ djohnson
Source: CyberScoop

As organizations consider agentic AI for their business and IT stacks, researchers continue to find bugs and vulnerabilities in major, commercial models that can significantly expand their attack surface. This week, researchers at Pillar Securitydiscloseda vulnerability in Antigravity, an AI-powered developer tool for filesystem operations made by Google. The bug, since patched, combined prompt injection with Antigravity’s permitted file-creation capability to grant attackers remote code execution privileges. The research details how the exploit was able to circumvent Antigravity’s secure mode, Google’s highest security setting for its agents that runs all command operations through a virtual sandbox environment, throttles network access and prohibits the agent from writing code outside of the working directory. Secure mode is supposed to limit the AI agent access to sensitive systems – and its ability to execute malicious or dangerous acts through shell commands. But one of the file-searching tools used by Antigravity, called “find_by_name,” is classified as a ‘native’ system tool. This means the agent can execute it directly and before protections like Secure Mode can even evaluate command level operations. “The security boundary that Secure Mode enforces simply never sees this call,” wrote \ Dan Lisichkin, an AI security researcher with Pillar Security. “This means an attacker achieves arbitrary code execution under the exact configuration a security-conscious user would rely on to prevent it.” The prompt injection attacks can be delivered through compromised identity accounts connected to the agent, or indirectly by hiding clandestine prompt instructions inside open-source files or web content the agent ingests. Antigravity has trouble distinguishing between written data it ingests for context and literal prompt instructions, so compromise can be achieved without any elevated access by getting it to read a malicious document or file. According to a disclosure timeline provided by Pillar Security, the bug was reported to Google on Jan. 6 and patched on Feb. 28, with Google awarding a bug bounty for the discovery. Lisichkin said this same pattern of prompt injection through unvalidated input has been found in other coding AI agents like Cursor. In the age of AI, any unvalidated input can become a malicious prompt capable of hijacking internal systems. “The trust model underpinning security assumptions, that a human will catch something suspicious, does not hold when autonomous agents follow instructions from external content,” he wrote. The fact that the vulnerability was able to completely bypass Google’s secure mode underscores how the cybersecurity industry must start adapting and “move beyond sanitization-based controls.” “Every native tool parameter that reaches a shell command is a potential injection point. Auditing for this class of vulnerability is no longer optional, and it is a prerequisite for shipping agentic features safely,” Lisichkin wrote. The postVuln in Google’s Antigravity AI agent manager could escape sandbox, give attackers remote code executionappeared first onCyberScoop.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD