Hacker News 上看到一篇文章,详细解释了攻击:在你要求 IDE 浏览网页后,攻击者通过在网页中注入攻击提示词,让 IDE 跳过.gitignore 读取.env ,并将密钥等信息通过请求发送给攻击者。
文章提到和其他很多产品一样,第一次打开 Antigravity 之后有一个数据安全的声明,看来这个问题并不是那么好解决。其他 AI IDE 可能也有类似问题,大家还是不要让它们访问陌生链接,尽量不要在项目里放生产环境的密钥比较好。
文章: https://www.promptarmor.com/resources/google-antigravity-exfiltrates-data
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.