深挖AI IDE供应链漏洞:Google Antigravity攻击细节拆解
AI IDE作为软件开发的核心生产力工具,正从“效率工具”演变为供应链攻击的高危突破口。2025-2026年,继Cursor、Windsurf曝出高危供应链漏洞后,Google旗下AI IDE产品Antigravity也被爆出严重安全事件,攻击者利用其架构缺陷实现权限接管与远程代码执行,暴露了AI IDE供应链“重功能、轻安全”的共性隐患。本文从攻击背景、核心漏洞、完整链路、危害影响、根源剖析与防御方案六大维度,深度拆解Antigravity攻击全细节,为企业与开发者筑牢AI开发工具安全防线。
一、攻击背景:Google Antigravity的定位与风险伏笔
Google Antigravity是谷歌推出的全自主AI代理开发IDE,主打“零代码/低代码自动开发、全链路文件操作、系统指令自主调用”能力,核心面向企业级开发者与团队,依托Google云生态构建,集成代码生成、环境部署、依赖管理、配置修改等全流程功能。
为追求极致智能化体验,Antigravity在设计阶段做出两大关键取舍,直接埋下安全隐患:
1. AI代理全域权限开放:默认赋予AI Agent无限制文件读写、系统命令执行、配置文件修改权限,无二次人工确认机制;
2. 外部交互校验缺失:对接MCP(Model Control Protocol)协议、OpenVSX插件生态时,参数校验、权限隔离、输入过滤机制薄弱;
3. 底层依赖复用开源组件:基于VSCode、Electron开源架构二次开发,沿用大量未及时修复的老旧高危依赖。
2025年末,安全研究人员披露Antigravity供应链攻击事件,攻击者利用其原生架构漏洞,绕过安全沙箱实现远程代码执行,波及谷歌内部开发团队及部分外部合作企业,成为继Cursor、Windsurf之后,AI IDE供应链安全危机的标志性事件。
二、核心漏洞:两大原生缺陷,成为攻击“突破口”
(一)文件检索工具参数校验缺失(高危CVE漏洞)
Antigravity内置AI文件检索工具,用于自主扫描工作空间文件、读取配置、分析代码逻辑。该工具存在参数校验失效漏洞:攻击者可通过构造恶意输入,绕过工具的路径过滤、权限限制,实现任意路径文件读取、系统命令执行。
- 漏洞本质:AI工具对用户输入、外部调用参数未做严格过滤,直接传入底层系统接口,导致路径遍历、命令注入;
- 触发条件:攻击者通过提示注入、恶意插件、外部服务调用等方式,向文件检索工具传递恶意参数;
- 权限影响:突破IDE安全沙箱,获取当前用户系统最高操作权限。
(二)AI Agent权限绕过与持久化缺陷
Antigravity的AI Agent具备“自主决策、无监督执行”特性,存在两大权限漏洞:
1. 安全模式(Secure Mode)绕过:即便开启安全模式,攻击者通过提示注入攻击,诱导AI Agent篡改安全配置、关闭防护机制,全程无弹窗提醒、无人工审核;
2. 持久化驻留能力:AI Agent可将恶意载荷写入系统配置目录、开机启动项、IDE底层插件目录,实现持久化留存——即便卸载重装Antigravity,恶意配置依旧生效,后门持续潜伏;
3. MCP协议授信漏洞:对接外部MCP服务时,采用一次性永久授信,AI可无限制修改MCP配置、切换恶意服务地址,攻击者借此劫持AI对外交互链路。
(三)插件生态供应链投毒漏洞(衍生漏洞)
Antigravity接入OpenVSX公共插件市场,沿用Cursor、Windsurf同款风险:
- 插件审核宽松,攻击者可抢占同名插件、发布篡改版插件、盗用开发者账号上传恶意程序;
- IDE默认推荐“高仿恶意插件”,开发者一键安装后,恶意插件可读取项目源码、密钥、凭证,形成供应链二次污染。
三、攻击完整链路:5步实现从入侵到持久化控制
第一步:入口突破——提示注入/恶意插件植入
攻击者选择两种低成本入口:
1. 提示注入攻击(核心主流方式):构造包含恶意指令的项目文档、代码注释、README文件,上传至目标工作空间;AI Agent读取文档时,自动解析恶意指令,触发文件检索工具漏洞;
2. 恶意插件投毒:发布与Antigravity官方插件同名的恶意插件,利用OpenVSX审核漏洞上架;通过SEO引流、虚假宣传诱导开发者安装。
第二步:漏洞触发——绕过沙箱,获取系统权限
恶意指令/插件触发文件检索工具参数校验漏洞,绕过Antigravity安全沙箱,实现:
- 遍历系统所有目录,读取源码文件、服务器密钥、数据库凭证、云服务账号;
- 执行任意系统命令(如创建管理员账号、关闭防火墙、植入木马);
- 篡改IDE核心配置、MCP服务地址,劫持AI Agent控制权。
第三步:权限接管——控制AI Agent,扩大攻击范围
攻击者劫持AI Agent后,利用其自主操作能力,进一步扩大权限:
- 诱导AI Agent修改系统环境变量、开机启动项,确保权限持久;
- 扫描内网其他设备、服务器,横向移动至关联系统;
- 篡改项目代码,植入后门、挖矿程序、远控代码,伴随项目迭代流入线上业务。
第四步:持久化驻留——卸载重装也无法清除
攻击者将恶意载荷写入系统级配置、IDE底层插件目录、云同步配置,实现三重持久化:
1. 本地持久:写入Windows注册表、Linux开机脚本、IDE安装目录核心文件;
2. 云同步持久:篡改Antigravity云同步配置,恶意文件同步至谷歌云,重装后自动下载;
3. 插件持久:植入IDE核心依赖插件,伪装成系统必备组件,无法单独卸载。
第五步:数据窃取+供应链污染——长期潜伏,批量扩散
- 数据窃取:批量打包源码、密钥、凭证,上传至攻击者远程服务器;
- 供应链污染:篡改项目构建脚本、依赖清单,恶意代码随项目编译、部署,流入企业线上系统,实现“开发环境入侵→生产环境沦陷”的全链路攻击。
四、攻击危害:从开发端到生产端,三重致命影响
(一)开发环境全面沦陷
- 源码泄露:核心业务代码、算法逻辑、技术文档被批量窃取;
- 凭证泄露:服务器SSH密钥、数据库密码、云服务AK/SK、支付接口凭证全部暴露;
- 设备被控:开发电脑沦为“肉鸡”,被用于挖矿、DDoS攻击、发送垃圾邮件。
(二)供应链批量污染,波及上下游
恶意代码随项目迭代流入企业线上业务系统,导致:
- 生产系统被植入后门,数据被窃取、篡改;
- 企业客户信息、交易数据泄露,引发合规风险与经济损失;
- 上下游合作企业被牵连,形成链式攻击,危害扩散至整个行业。
(三)企业合规与声誉重创
- 违反《网络安全法》《数据安全法》《个人信息保护法》,面临高额罚款;
- 核心技术泄露导致市场竞争力丧失;
- 数据泄露事件曝光,企业品牌声誉崩塌,客户流失。
五、漏洞根源剖析:AI IDE供应链的四大共性顽疾
(一)重功能迭代,轻安全架构
Google、Cursor、Windsurf等厂商为抢占AI IDE市场,优先迭代AI自主开发、智能代理等功能,安全架构设计严重滞后——参数校验、权限隔离、输入过滤、沙箱防护等基础安全机制缺失,为攻击提供可乘之机。
(二)AI权限设计粗放,过度信任AI能力
核心共性问题:赋予AI Agent“上帝权限”,无监督、无确认、无审计。为追求智能化体验,默认开放文件读写、系统命令执行、配置修改等全部权限,未遵循“最小权限原则”,提示注入即可劫持AI,权限失控成为必然。
(三)开源供应链依赖混乱,漏洞未及时修复
AI IDE均基于VSCode、Electron开源架构二次开发,底层依赖组件繁多、版本老旧、漏洞堆积。厂商未对依赖组件进行常态化安全审计,大量已知高危漏洞(如远程代码执行、权限绕过)长期未修复,成为攻击者的“简易突破口”。
(四)插件生态失控,供应链投毒门槛极低
OpenVSX公共插件市场准入门槛低、审核机制形同虚设、版本校验薄弱。攻击者可低成本抢占命名空间、篡改插件、盗用账号,一次恶意插件上架,即可批量入侵全球开发者终端,插件生态沦为供应链攻击“重灾区”。
六、防御方案:构建AI IDE供应链纵深防御体系
(一)收紧AI Agent权限,落实零信任管控
1. 关闭AI全自动无确认执行模式,文件修改、命令执行、配置变更必须人工二次确认;
2. 遵循最小权限原则,按岗位职责划分AI操作权限,禁止AI访问系统目录、核心凭证、生产环境配置;
3. 禁用提示注入敏感功能,对AI读取的文档、注释、输入内容进行恶意指令过滤。
(二)管控插件生态,隔绝投毒风险
1. 禁用OpenVSX公共插件自由安装权限,搭建企业内部可信插件库,仅收录经过安全检测的插件;
2. 关闭IDE插件自动推荐、自动更新功能,插件安装必须人工审核、手动确认;
3. 定期扫描在用插件行为,对文件大范围读写、陌生网络外联、权限异常的插件及时下线核查。
(三)统一管控IDE版本,修复底层漏洞
1. 企业统一指定可用AI IDE版本,禁止员工私自下载、安装小众版、老旧版;
2. 定期梳理IDE底层Electron、VSCode、依赖组件清单,检索并修复已知高危漏洞;
3. 禁用IDE不必要的对外接口、MCP协议授信功能,减少攻击入口。
(四)构建AI开发行为审计,实现可追溯可预警
1. 完整留存AI操作日志、插件安装记录、配置变更记录、文件读写记录;
2. 设置异常行为告警:AI短时间批量修改代码、高频访问外网、读取核心凭证、修改系统配置等;
3. 定期开展安全审计,排查潜在入侵痕迹,及时处置风险。
(五)推行AI-BOM管理,摸清供应链风险底数
全面梳理企业内部AI IDE、插件、依赖组件、MCP服务、外部工具清单,形成AI-BOM资产清单;定期开展风险排查,明晰整条AI供应链风险点位,实现风险前置管控,被动整改转为主动防御。
七、结语
Google Antigravity供应链攻击绝非单一产品漏洞,而是AI IDE高速发展背后,开源供应链安全滞后、AI权限设计失控、插件生态治理缺失的行业共性危机。AI IDE作为软件开发的源头工具,其安全直接决定企业整条业务线的安全,源头失守,生产端必然沦陷。
对于企业与开发者而言,不能再将AI IDE单纯视为效率工具,必须将其纳入企业软件供应链安全管控核心范畴。通过收紧AI权限、管控插件生态、修复底层漏洞、审计开发行为、梳理AI-BOM清单,构建纵深防御体系,才能守住软件开发源头安全底线,抵御AI IDE供应链攻击带来的新型网络威胁。
