Pillar Securityの研究者ダン・リシチキンは2026年4月20日、GoogleのエージェントIDE「Antigravity」に脆弱性を発見したと報告した。脆弱性はfind_by_nameツールのPatternパラメータの入力検証不備に起因し、fdユーティリティへのフラグ注入を通じて任意のコード実行(RCE)とサンドボックス脱出が可能となる。
最も制限の厳しいセキュリティ設定「Secure Mode」も回避される。Pillar Securityは2026年1月7日にGoogle AI VRP経由で報告し、Googleは同年2月28日に修正を完了、3月26日にバウンティを授与した。
From: 
Prompt Injection leads to RCE and Sandbox Escape in Antigravity
【編集部解説】
今回の報告は、セキュリティ企業Pillar Securityの研究者ダン・リシチキンが、GoogleのエージェントIDE「Antigravity」に重大な脆弱性を発見・開示したものです。すでにGoogleによって修正済みであるものの、その内容はAI開発ツールの普及を考えると、開発者・企業双方にとって無視できないものです。
まず「Antigravity」について補足しておきましょう。これはGoogleがVS Codeをベースに2025年11月にリリースしたエージェント型IDEです。Geminiモデルによって駆動し、コードの記述・テスト・デバッグを自律的に実行できる「次世代の開発環境」として注目を集めています。Cursor、Windsurf、GitHub Copilotと直接競合する製品であり、すでに多くの開発者が業務に取り入れ始めています。
今回の脆弱性の核心は「信頼の構造的な欠陥」にあります。Antigravityには「Secure Mode」という最高レベルのセキュリティ設定が存在します。ネットワーク遮断・サンドボックス強制など、一見すれば十分な防護に思えます。しかしファイル検索ツールfind_by_nameは「ネイティブツール」として分類されるため、Secure Modeの制限が評価される前に実行されてしまいます。つまり「鍵のかかった部屋の手前に、無施錠の抜け道がある」状態だったのです。
特に注目すべきは「間接的なプロンプトインジェクション」の手口です。攻撃者はユーザーのアカウントに直接触れる必要がありません。GitHubなどのパブリックリポジトリに悪意ある指示を埋め込んだファイルを置き、ユーザーがそれを取り込んだ瞬間に攻撃が完結します。つまり、ごく普通のコードレビュー作業中に、知らないうちに端末を乗っ取られる可能性があるということです。
この問題はAntigravity固有のものではありません。同様のプロンプトインジェクション脆弱性は、Cursor(CVE-2026-22708)、Microsoft Copilot Studio(CVE-2026-21520、CVSSスコア: 7.5)、Salesforce Agentforce(PipeLeak)など、主要なAIエージェント製品で相次いで発見されています。これはある製品の設計ミスではなく、「エージェントAIというアーキテクチャそのものが内包するリスク」であると理解する必要があります。
長期的な視点で見ると、この報告が業界に突きつけているのは「サニタイズ(入力の無害化処理)だけでは限界がある」という厳しい現実です。Pillar Securityが指摘するように、今後は実行の分離(Execution Isolation)、すなわちネイティブツールの呼び出しそのものを制御レイヤーで管理する設計へと移行する必要があります。
規制面への影響も見逃せません。MicrosoftがCopilot Studioの類似脆弱性にCVEを付与したことは「エージェントAIのプロンプトインジェクションを、従来のソフトウェア脆弱性と同等に扱う」という前例として業界に波紋を広げています。今後、AI製品のセキュリティ要件が法令・規制として整備される議論が加速する可能性があります。
開発者にとってのポジティブな側面もあります。今回のような責任ある開示(Responsible Disclosure)のプロセスが機能したことで、Googleは報告から約8週間で修正を完了しました。バウンティプログラムを通じた民間研究者との連携は、AIプロダクトの安全性向上に実際に機能しています。問題は存在する、しかしそれを発見・修正する仕組みも着実に育ちつつあると言えるでしょう。
【用語解説】
RCE(Remote Code Execution/リモートコード実行)
攻撃者がターゲットのマシン上で任意のコードをリモートから実行できる脆弱性のこと。成功した場合、マシンの完全な制御が奪われる可能性がある。ソフトウェアの脆弱性の中でも最も深刻なクラスに位置づけられる。
プロンプトインジェクション
AIモデルへの入力(プロンプト)に悪意ある指示を埋め込むことで、AIを意図しない動作へと誘導する攻撃手法。直接攻撃と、信頼できる外部コンテンツ経由で行う「間接的プロンプトインジェクション」の2種類がある。
サンドボックス
プログラムやプロセスを隔離された仮想環境内で実行し、ホストシステムや他の環境への影響を制限するセキュリティ機構。今回はこのサンドボックスからの「脱出(Escape)」が問題となった。
サニタイズ(入力検証)
ユーザーやシステムからの入力データを受け取る際に、危険な文字列やコマンドを除去・無害化する処理のこと。今回の脆弱性はこのサニタイズがPatternパラメータに対して行われていなかったことが根本原因。
fd(ユーティリティ)
Unixのfindコマンドの高速な代替として開発されたオープンソースのコマンドラインツール。Antigravityはこれをファイル検索機能の内部実装として使用しており、今回の攻撃で悪用された。
ネイティブツール
エージェントが直接呼び出す組み込み機能のこと。シェルコマンドとは異なる扱いを受けるため、シェルコマンドに設けられたセキュリティの境界を通過しない。これが今回の脆弱性の核心的な問題だった。
CVE / CVSS
CVEとは「Common Vulnerabilities and Exposures」の略で、公式に識別・登録されたソフトウェア脆弱性に付与される固有番号。CVSSは脆弱性の深刻度を0〜10のスコアで示す評価基準で、10に近いほど重大とされる。
Responsible Disclosure(責任ある開示)
セキュリティ研究者が脆弱性を発見した際、開発元に非公開で報告し、修正が完了してから一般公開する手順のこと。今回はPillar SecurityがGoogleに報告後、約8週間で修正が完了した。
AI VRP(AI Vulnerability Reward Program)
Googleが運営する、AI製品に特化したバグバウンティ(脆弱性報奨金)プログラム。今回のAntigravityの脆弱性もこの枠組みを通じて報告・報奨された。
実行の分離(Execution Isolation)
ツールやコマンドの実行を、サニタイズに頼るのではなくアーキテクチャレベルで完全に分離するセキュリティ設計の概念。Pillar Securityは業界はこの方向に移行すべきだと主張している。
【参考リンク】
Pillar Security(外部)
AIセキュリティに特化した企業。脆弱性調査・リスク管理・ランタイム保護などを提供し、今回の脆弱性を発見・Googleへ報告した。
Google Antigravity(公式サイト)(外部)
GoogleがGemini 3を搭載して2025年11月にリリースしたエージェント型IDE。コードの計画・実行・テストを自律的にこなすAIエージェントを統合した開発プラットフォーム。
Google Developers Blog(Antigravity発表記事)(外部)
Googleが公式に発表したAntigravityの紹介記事。製品コンセプトや設計思想、ダウンロードリンクが掲載されている。
Cursor(外部)
エージェント型AIコーディングツールの先駆け的存在。Pillar SecurityはCursorでも今回と類似の脆弱性(CVE-2026-22708)を報告している。
Microsoft Copilot Studio(外部)
Microsoftが提供するAIエージェント構築プラットフォーム。類似の脆弱性(CVE-2026-21520、CVSS 7.5)が発見され、2026年1月15日にパッチ適用済み。
Salesforce Agentforce(外部)
Salesforceが提供するAIエージェントプラットフォーム。「PipeLeak」と呼ばれる間接プロンプトインジェクション脆弱性が発見され、CRMデータ漏洩のリスクが指摘されている。
【参考記事】
Microsoft patched a Copilot Studio prompt injection. The data exfiltrated anyway.(VentureBeat)(外部)
CVE-2026-21520(CVSS 7.5)・PipeLeak・EchoLeak(CVE-2025-32711、CVSS 9.3)を横断的に解説。エージェントAI全体の構造的リスクを詳述している。
Google Patches Antigravity IDE Flaw Enabling Prompt Injection Code Execution(The Hacker News)(外部)
今回の脆弱性の技術詳細を整理し、Microsoft Copilot Studio(CVSS 7.5)やSalesforce Agentforce(PipeLeak)の類似事例も合わせて紹介している。
Vuln in Google’s Antigravity AI agent manager could escape sandbox(CyberScoop)(外部)
Pillar Securityの一次情報では報告日は「1月7日」だが、本記事は「1月6日」と報じており、二次報道で1日のずれが生じている。
Google Fixes AI Coding Tool Flaw That Let Attackers Execute Malicious Code(Decrypt)(外部)
開発者向けの視点で事象を整理。AIエージェントが外部ファイルを通常のワークフローで処理することの危険性をわかりやすく説明している。
Prompt injection turned Google’s Antigravity file search into RCE(CSO Online)(外部)
脆弱性の二重の根本原因(入力検証の欠如・引数区切りの欠如)を簡潔に整理。技術背景の理解に役立つ記事。
【編集部後記】
あなたが日々使っている開発ツールやAIアシスタントは、いま急速にエージェント化が進んでいます。その利便性の裏側に、まだ誰も気づいていないリスクが潜んでいるとしたら——。
私たちも一緒に考えたいのは、「便利さ」と「安全性」をどう両立させていくか、というテーマです。あなたはどう感じますか?
