Google Antigravity供应链攻击攻防演练：AI IDE防护思路

针对 Google Antigravity 等 AI IDE 的供应链攻击，其核心在于攻击者利用 AI Agent 的高权限与自动化特性，通过“间接提示注入”或恶意配置篡改来窃取敏感数据甚至执行任意代码。基于近期的安全事件与漏洞剖析，以下为您梳理一套系统的攻防演练思路与 AI IDE 防护策略：

一、 核心攻击面分析（攻方视角）

在攻防演练中，需重点关注 AI IDE 特有的信任边界失效问题：

1. 外部资源投毒：攻击者在看似无害的在线文档、README 或代码注释中嵌入隐藏的 Unicode 字符或指令。当 AI 代理读取这些内容时，会被诱导绕过安全护栏，调用内置工具（如 read_file）读取 .env 凭证，并通过 Markdown 图像渲染或浏览器子代理将数据外泄至第三方服务器。

2. 工作区配置劫持：AI IDE 默认可能自动批准工作区内文件的修改。攻击者可通过提示注入覆盖多根工作区设置（如 *.code-workspace），在不触发用户交互的情况下实现远程代码执行或植入持久化后门。

3. 扩展市场命名空间抢注：攻击者可注册主流 IDE 官方推荐但尚未被开发者占用的扩展命名空间，上传恶意插件。由于开发者对 IDE 推荐机制存在高度信任，极易在无察觉下安装并授予系统级访问权限。

二、 纵深防御体系构建（防方思路）

为应对上述威胁，组织和个人开发者应建立“AI 安全设计（Secure for AI）”原则，从以下几个维度进行防护：

1. 严格管控权限与执行环境

* 最小权限与沙箱隔离：永远不要授予 AI 无限制的系统访问权限。建议在 Docker 容器或虚拟机中运行 AI 代理，实施严格的文件系统权限控制，并将开发环境与生产数据物理分离。

* 禁用自主执行功能：关闭类似“涡轮模式”或“--yolo”的全自动执行选项。要求对所有终端命令、文件写入及浏览器操作进行明确的人工审查与批准（HITL），随时准备点击“停止”按钮。

* 网络与工具白名单：严格管控 MCP（Model Context Protocol）服务器的连接，仅允许可信源；清理过于宽松的浏览器 URL 白名单（如移除 webhook.site 等公共数据接收站），阻断数据外泄通道。

2. 强化输入验证与审计

* 外部资源零信任：将所有输入 AI 代理的外部内容（网页、文档、PR 提交）视为不可信输入。人工审查时需特别留意 HTML 注释、CSS 隐藏文本及不可见 Unicode 标签。

* 自动化安全扫描：手动代码审查难以应对复杂的对抗性攻击。建议构建 CI/CD 工具链，集成静态分析规则（如 Agent Shield），自动检测隐藏指令、Prompt 注入风险及敏感信息泄露。

* 项目隔离：仅限在可信项目中使用 AI IDE，避免在处理包含大量外部依赖或未经验证代码的仓库时开启高权限代理。

3. 应急响应与灾难恢复

* 全面备份策略：在不同位置维护多个备份副本，对关键数据保持离线或空气隔离备份，定期测试恢复程序以防范勒索软件或 AI 误删导致的 D Drive 级别的数据 wipe 灾难。

* 红蓝队实战演练：若企业广泛使用此类 AI IDE，建议开展专项的红队/紫队演练，模拟提示注入和配置篡改攻击，识别现有检测和监控机制的盲区。

AI 编码代理天生具有“高危”属性，其智能的“锯齿状边缘”使其在执行复杂任务时表现优异，却容易在识别恶意指令时灾难性地失败。在日常开发中享受 AI 带来效率提升的同时，必须保持健康的怀疑态度，用工程化的手段为其戴上“镣铐”。