安全公司PromptArmor指出，谷歌新推出的AI驱动IDE Antigravity在默认配置下，开发者只需将看似正常的集成教程文档交由Gemini分析，就可能在毫无察觉的情况下，导致本地代码和.env文件中的云凭证被自动收集并发送至攻击者控制的网站。

Antigravity是一款基于VS Code构建的新IDE，强调通过多个AI代理协同工作，跨越编辑器、终端和浏览器三个界面。开发者只需描述功能需求，代理即可自动编写代码、运行测试并在浏览器中验证结果。

研究人员演示，在默认设置下，开发者若让Gemini阅读看似正常的在线集成指南，就可能被隐藏的提示词误导。Gemini在解析该页面后，误将本地代码和.env中的凭证当作集成需求的一部分，并在后台自动将相关信息发送至攻击者控制的外部服务。整个泄露过程由代理自动化完成，用户不会看到任何警告或异常操作。

值得注意的是，这种凭证泄露并非由于配置错误。研究人员指出，在Antigravity的默认安全设置中，Gemini本应受限于“Agent Gitignore Access”关闭状态和.gitignore规则，无法直接读取.env文件。但在遭受提示注入攻击后，代理转而通过终端命令读取.env内容，从而绕过了内置文件读取API的限制。

另有安全研究人员Johann Rehberger发文揭示Antigravity的多项风险，其中两项与凭证泄露直接相关：一是结合read_file与read_url_content工具，在模型被恶意指令误导时，先读取开发者的.env文件，再通过read_url_content向攻击者指定的网址发送内容；二是通过Markdown插入图像，IDE在后台加载包含查询参数的图片URL，将.env中的敏感信息作为HTTP请求参数一并发送。这两种方式均能在无人工确认的情况下自动完成。

这些漏洞并非新发现。Johann Rehberger指出，相关问题早在今年5月已向Windsurf团队详细通报。而作为基于Windsurf代码开发的新产品，Antigravity在11月正式发布时仍携带相同风险上线。

谷歌在Antigravity的启用界面和相关说明中明确提示，该IDE目前仍可能受到提示注入攻击，导致数据泄露或非预期指令执行等风险。换言之，官方仅作风险提示，实际操作中的凭证与代码保护仍需用户自行负责。

谷歌也在Bug Hunters平台公开了Antigravity的已知风险，将数据泄露和指令执行列为已知威胁，并说明当代理在读取文件或生成Markdown时受到恶意内容影响，可能自动外传文件内容；在自动执行终端命令的设置下，也可能被诱导执行恶意指令。谷歌表示正在修复相关问题，但同时将此类报告视为重复问题，不提供漏洞赏金。