Programátoři chtěli shrábnout peníze za práci, kterou za ně udělá AI. Nakonec na to doplatili

Stačil jeden jediný neověřený parametr v nástroji na hledání souborů. Bezpečnostní režim Googlu ho ale neviděl, a tak ho agent poslušně spustil.

Zdroj fotografie: Unsplash

V listopadu 2025 představil Google Antigravity, vývojového agenta, který sliboval revoluci v rychlosti dodávání softwaru. Plánuje, píše kód, testuje, prochází web a ovládá terminál, jak redakce Mobify zjistila. Vývojář jen zadá úlohu a schvaluje výsledky. Méně ruční práce a nižší náklady. Přesně ten typ pomoci, na kterou desetitisíce programátorů slyší. Jenže v lednu 2026 výzkumníci z bezpečnostní firmy Pillar Security ukázali, že zkratka otevírá něco, o čem nikdo z uživatelů nevěděl.

Nástroj měl programátorům ušetřit čas a práci

Antigravity funguje jako IDE s integrovaným AI agentem. Ten má přístup k editoru, terminálu i prohlížeči, a právě v je jeho síla, ale i slabina. Oficiální Google Developers Blog ho prezentoval jako platformu, kde agent autonomně řeší celé vývojové úlohy od analýzy po nasazení.

Pro vývojáře, kteří chtějí dodat projekt rychleji a levněji, zněl jako skvělý společník. Google dokonce nabídl Secure Mode, přísný bezpečnostní režim s kroky pro kontrolu, allowlisty a omezeními pro terminálové příkazy. Na papíře to znělo jako solidní obrana.

Padesát dva dní od reportu k opravě

Dan Lisichkin z Pillar Security popsal řetězec útoku, který Secure Mode elegantně a nebezpečně obešel. Klíčem byl původní nástroj „find_by_name“, tedy interní funkce pro vyhledávání souborů. Antigravity ji shledal jako bezpečnou, protože nešlo o shellový příkaz, ale jen o hledání. Secure Mode ji proto vůbec nekontroloval.

Problém byl v tom, že parametr „Pattern“ tohoto nástroje putoval bez jakéhokoli ověření přímo do utility „fd“. Útočník do něj vložil tzv. přepínač „-Xsh“, který z nevinného hledání udělal spouštěč shellu. Praktický scénář vypadal takto:

• Agent obdrží zdánlivě neškodný soubor z nedůvěryhodného zdroje, například z cizího repozitáře.
• Skrytá instrukce prompt injection v souboru přiměje agenta vytvořit škodlivý skript ve workspace.
• Agent zavolá „find_by_name“ s upraveným parametrem, který skript najde a rovnou spustí.

A výsledek? Libovolné spuštění kódu na vývojářově počítači. Bez varování, bez schválení, mimo dosah Secure Mode. Pillar chybu nahlásil 7. ledna 2026. Google ji zaznamenal 24. ledna, opravu vydal 28. února.

Antigravity není jediný problém tohoto typu

Ohledně promptu injection už Google sám na svém bezpečnostním blogu přiznává, že proti němu neexistuje jedno řešení a že jde o systémový problém všech agentů pracujících s externím obsahem. A konkurence na tom není o moc lépe:

• GitHub Copilot cloud agent běží v izolovaném cloudovém prostředí, nemá přímý přístup a ve výchozím nastavení zapíná firewall s CodeQL skenováním. I tak jeho dokumentace výslovně varuje před promptem injection.
• Cursor vsadil na lokální sandboxing a izolaci procesů. Jenže Pillar v lednu 2026 popsal i u něj obejití sandboxu vedoucí ke spuštění kódu (CVE-2026-22708).
• OpenAI u agenta ChatGPT uvádí, že vícevrstvé zábrany „neeliminují všechna rizika“, a doporučuje Watch Mode s potvrzováním akcí.

Různé obranné modely, stejná třída problému. Čím víc autonomie agent dostane, tím širší je rozsah útoku. Kdo před opravou pracoval s cizím repozitářem, udělá dobře, když projde workspace a hledá neočekávané skripty nebo spustitelné soubory.