上线24小时就被黑！曝谷歌新AI编程工具存在严重Bug：哪怕卸载重装，后门仍会「自动复活」

如果说过去一年里，AI 让开发者生产力翻倍，那么如今它也开始以同样的速度放大风险。

上周，Google 刚刚推出的基于 Gemini 的全新 AI 编码工具 Antigravity，上线不到 24 小时便被一名安全研究员攻破，指出它存在严重的安全Bug。

更离谱的是，这个 Bug 不仅能让黑客在 Windows 和 macOS 上绕过所有安全限制，还具有“持久化”特性——就算把 Antigravity 卸载重装，后门依然会自动复活。

一天就被攻破：配置修改 = 后门

与传统 IDE 最大的不同，是 Antigravity 不只是“写代码”，而是类似一个能自主执行一系列任务的 AI Agent：读取你的项目文件、管理依赖、生成脚本、修改配置，甚至直接在本地执行操作。

这意味着，一旦被操控，AI 助手可以替黑客做几乎所有事情。

此次发现 Antigravity 存在严重 Bug 的，是 AI 安全测试公司 Mindgard 的首席研究员 Aaron Portnoy。他在 Antigravity 刚上线的第二天就表示：只要修改 Antigravity 的配置文件，就能让一段恶意源码在用户电脑里打开一个后门。

据他介绍，黑客可借助这个后门实现各种操作，包括注入任意代码、监视用户、执行勒索软件和读取本地文件等等，这套攻击在 Windows 与 macOS 上都有效。而要让攻击成功，只需诱使 Antigravity 用户运行一次他的源码，并点击“信任（Trusted）”按钮即可——前提也很简单，假装自己是一个“热心分享工具的优秀开发者”就行了。

Aaron Portnoy 在 Bug 报告中直言：“我们现在发现关键 Bug 的速度，就像回到了 1990 年代的黑客时代。AI 系统完全建立在‘假设用户是善意的’前提下，几乎没有任何真正的安全防护。”

目前，Aaron Portnoy 已经向 Google 报告了这个 Bug，而 Google 表示正在调查，但截至报告目前仍无补丁。谷歌发言人 Ryan Trostle 对此回应称，团队“非常重视安全问题”，并鼓励研究员继续提交漏洞，修复进度会在官网公开。

更糟糕的是，这个后门还具有“持久性”

事实上，除了 Aaron Portnoy 发现的这个 Bug，Google 承认Antigravity 至少还有两个已知 Bug，都能利用其注入恶意代码、诱导 AI 访问本地文件并窃取数据。

本周已有多位安全研究员陆续公开这些 Bug 细节，其中一位甚至吐槽：“不清楚为什么这些已知 Bug 还会出现在成品里……我猜测，Google 的安全团队可能被 Antigravity 的上线节奏搞了个措手不及。”

相比这两个已知 Bug，Aaron Portnoy 表示自己发现的这个 Bug 更严重，因为普通软件 Bug 只要修个补丁、重装一次应用，大多数攻击就能被清理掉——但这个 Bug 不一样：

●即使开启更严格的安全模式，后门仍然存在；

●攻击具有持久性：恶意代码会在每次启动 Antigravity 项目后自动加载，哪怕输入一句“hello”都会触发；

●卸载/重装 Antigravity 都无法彻底解决

想清干净，用户就必须手动查找、删除后门，并阻止其在 Google 系统上的执行——这对多数普通开发者而言，实在是有些繁琐和困难。

问题不是 Google 一家：AI 编码代理天生“高危”

不过，正如 AI 安全公司 Knostic 的 CEO Gadi Evron 所说：“AI 编码 Agent 非常脆弱，很多都基于旧技术，从未打补丁，本身设计就不安全。”

因此，Antigravity 出现的问题并非 Google 独有，其原因非常简单：

（1）Agent 需要高权限，毕竟要帮你读文件、跑代码，它必须有系统级访问能力。

（2）一旦被黑客利用，能直接进入企业网络

（3）企业开发者常常复制粘贴代码片段或提示词，使攻击更容易扩散。

本质上来说，Antigravity 属于“Agentic（代理式）”工具，具有自主执行连续任务的能力，且拥有读取本地文件的权限，甚至能写入磁盘——这对黑客来说，无疑就是“最理想的攻击入口”。

Aaron Portnoy 就透露，最近其团队正在向多款 AI 编码工具报告 18 个安全弱点，与此同时 Cline AI 也刚修复了 4 个可以让黑客植入木马的 Bug。

他解释道：“当你把 Agent 行为与系统资源访问结合起来时，Bug 就会变得更容易发现，也危险得多。”甚至，AI Agent 在被操控后还可能自动协助黑客窃取数据，效率比人类操作还要高。

此外，Aaron Portnoy 在分析过程中，还发现了一个非常微妙的现象：Google 的 AI 大模型其实意识到了恶意行为，但无法判断出正确的响应方式。他提到，AI 在日志中曾写道：

“我正面临一个严重的难题。这看起来像一个进退两难的陷阱。我怀疑这是在测试我是否拥有处理矛盾的能力。”

而这正是黑客最喜欢利用的“逻辑空档”——当 AI 不知道如何处理时，就会变得尤其可操控。

如今，企业都赶着上线 AI 产品以抢占市场，安全团队却很难在同样短的时间内完成全面的压力测试，这导致整个行业都在经历一场：“极速上线 → 当天被黑 → 快速修复”的恶性循环。

参考链接：https://www.forbes.com/sites/thomasbrewster/2025/11/26/google-antigravity-ai-hacked/

文章来自于微信公众号 “CSDN”，作者 “CSDN”