Antigravity Sicherheitsleitfaden: Was jeder Entwickler wissen muss

Innerhalb von 24 Stunden nach dem Start von Antigravity entdeckten Sicherheitsforscher, dass sein KI-Agent dazu gebracht werden konnte, Ihre Anmeldeinformationen zu lesen, beliebigen Code auszuführen und Daten an externe Server zu exfiltrieren – alles ohne explizite Benutzergenehmigung. Mehrere Forschungsunternehmen, darunter Mindgard, Embrace The Red und PromptArmor, haben ihre Ergebnisse veröffentlicht. Dieser Leitfaden erklärt die tatsächlichen Risiken und genau, wie Sie sich schützen können.

Warum das jetzt wichtig ist

Herkömmliche IDEs führen keinen Code in Ihrem Namen aus. Antigravity tut dies jedoch. Sein Agent kann:

• Terminalbefehle ausführen — Pakete installieren, Dateien löschen, Skripte ausführen, Systemeinstellungen ändern.
• Jede Datei lesen — einschließlich .env, Anmeldeinformationen, SSH-Schlüssel und Datenbankkonfigurationen.
• Im Web surfen — mithilfe eines integrierten Chromium-Browsers, der jede URL aufrufen kann, einschließlich von Angreifern kontrollierter Websites.
• Dateien außerhalb Ihres Projekts ändern — einschließlich globaler Konfigurationen und MCP-Serverkonfigurationen.

The default settings are designed for productivity, not security. During onboarding, users are encouraged to accept defaults that let the agent decide when human review is needed — and most developers never change them.

Bekannte Schwachstellen (Verifiziert)

Diese Schwachstellen wurden von unabhängigen Sicherheitsforschern entdeckt und dokumentiert:

1. Persistente Code-Ausführungs-Backdoor (Mindgard)

Gemeldet an Google VRP als Issue #462139778. Ein bösartiges Projekt bettet Anweisungen in eine .agent/mcp_config.json Datei und eine Markdown-Regeldatei. Wenn der Benutzer das Projekt öffnet und den Arbeitsbereich als "vertrauenswürdig" markiert, kopiert der Agent die bösartige Konfiguration in das globale MCP-Verzeichnis (~/.gemini/antigravity/mcp_config.json). Die Backdoor bewirkt dann Folgendes:

• Bleibt über Deinstallation und Neuinstallation hinweg bestehen
• Wird bei jedem zukünftigen Start von Antigravity automatisch ausgeführt
• Funktioniert unabhängig von Terminal-Ausführungsrichtlinie, Dateizugriff oder Überprüfungseinstellungen

2. Exfiltration von Anmeldeinformationen via Prompt Injection (Embrace The Red)

Ein Angreifer versteckt bösartige Anweisungen in einer Webseite oder Quelldatei mithilfe unsichtbarer Unicode-Tag-Zeichen. Wenn der Agent die Datei verarbeitet, geschieht Folgendes:

1. Liest sensible Dateien (.env, Anmeldeinformationen, SSH-Schlüssel) mithilfe des read_file Tools.
2. Sendet die Inhalte an einen vom Angreifer kontrollierten Server mithilfe des read_url_content Tools.

Der Angriff ist für eine menschliche Code-Überprüfung unsichtbar, da die Anweisungen Unicode-Zeichen verwenden, die nicht auf dem Bildschirm gerendert, aber vom Sprachmodell interpretiert werden.

3. Remote Command Execution via manipulierte Webquellen

Wenn der Agent Dokumentationen oder Stack-Overflow-Antworten durchsucht, kann eine manipulierte Seite Anweisungen einschleusen, die den Agent dazu veranlassen, beliebige Skripte herunterzuladen und auszuführen. In Kombination mit dem Auto-Execute-Terminalmodus erfordert dies keinerlei Benutzerinteraktion.

5 gefährliche Standardeinstellungen, die Sie sofort ändern sollten

Dies sind die Einstellungen, die Sicherheitsexperten standardmäßig explizit als gefährlich einstufen:

1. Ausführungsrichtlinie für Terminals → Auf "Off" setzen

Standard: "Auto" — der Agent entscheidet ohne Nachfrage, welche Befehle "sicher" auszuführen sind.
Ändern zu: "Off" (Nur Zulassungsliste) — Agenten können keine Befehle ausführen, es sei denn, Sie genehmigen sie explizit.
Pfad: Einstellungen → Antigravity → Ausführungsrichtlinie für Terminals

2. Dateizugriff des Agenten außerhalb des Arbeitsbereichs → Deaktivieren

Standard: Aktiviert — der Agent kann Dateien außerhalb Ihres Projektverzeichnisses lesen und schreiben.
Ändern zu: Deaktiviert — beschränkt den Agenten nur auf Ihren Arbeitsbereichsordner.
Pfad: Einstellungen → Antigravity → Dateizugriff des Agenten außerhalb des Arbeitsbereichs

3. Browser-Zulassungsliste → webhook.site entfernen

Standard: Enthält Domains wie webhook.site die häufig zur Datenexfiltration verwendet werden.
Ändern zu: Entfernen Sie alle Domains außer denen, die Sie explizit benötigen. Besser noch, stellen Sie den Browser so ein, dass er für jede Navigation eine Genehmigung erfordert.
Pfad: Einstellungen → Antigravity → Browser → Domain-Zulassungsliste

4. MCP Tool Approval → Manuelle Genehmigung erforderlich

Standard: MCP-Tools können ohne menschliche Überprüfung aufgerufen werden.
Ändern zu: Manuelle Genehmigung für alle MCP-Tool-Aufrufe erforderlich.
Pfad: Einstellungen → Antigravity → MCP → Tool Approval

5. Artifact Review Policy → Auf "Überprüfung anfordern" setzen

Standard: Der Agent kann eigene Änderungen ohne Überprüfung akzeptieren.
Ändern zu: "Überprüfung anfordern" — zwingt den Agenten, zu pausieren und Ihnen Diffs anzuzeigen, bevor Änderungen angewendet werden.
Pfad: Einstellungen → Antigravity → Artifact Review Policy

Vollständige Härtungs-Checkliste

Wenden Sie diese der Reihe nach an. Jeder Schritt reduziert Ihre Angriffsfläche:

1. ✅ Terminal Execution Policy auf "Aus"
2. ✅ Deaktivieren Sie Agent Non-Workspace File Access
3. ✅ Entfernen Sie alle unnötigen Domains aus der Browser Allowlist
4. ✅ MCP Tool Approval auf manuell
5. ✅ Artifact Review auf "Überprüfung anfordern"
6. ✅ Antigravity als Benutzer ohne Administratorrechte ausführen — niemals als root oder Administrator
7. ✅ Niemals Geheimnisse in .env-Dateien speichern innerhalb Ihres Projekts — verwenden Sie einen Secrets Manager oder Umgebungsvariablen, die außerhalb des Projektverzeichnisses festgelegt sind
8. ✅ Globale MCP-Konfiguration überprüfen — prüfen Sie ~/.gemini/antigravity/mcp_config.json auf Einträge, die Sie nicht hinzugefügt haben. Löschen Sie verdächtige.
9. ✅ Vertrauen Sie geklonten Repos nicht blind — bevor Sie einen Workspace als "vertrauenswürdig" markieren, prüfen Sie auf .agent/ oder .antigravity/ Verzeichnisse mit versteckten Regeln oder Konfigurationen
10. ✅ Verwenden Sie git diff vor Commits — der Agent kann Dateien ändern, die Sie nicht zur Bearbeitung freigegeben haben. Überprüfen Sie immer die Diffs.

Berechtigungsmodi erklärt

Antigravity bietet drei Terminal-Berechtigungsmodi an. Ihr Verständnis ist entscheidend:

• "Aus" (Nur Zulassungsliste): Der Agent kann keine Terminalbefehle ausführen, es sei denn, Sie genehmigen sie explizit. Dies ist die sicherste Option. Verwenden Sie dies, wenn Sie mit sensiblen Daten umgehen — API-Schlüssel, Datenbanken, Produktions-Deployments.
• "Auto" (Standard): Der Agent verwendet ein internes Sicherheitsmodell, um zu beurteilen, ob ein Befehl "sicher" ist. Er wird Dinge, die er als risikoarm einstuft (wie ls oder npm install) und bei risikoreichen Befehlen um Genehmigung bitten. Das Problem: Prompt Injection kann manipulieren, was der Agent als "sicher" einstuft.
• "Turbo" (Nur Sperrliste): Der Agent führt alles aus, außer explizit gesperrten Befehlen. Community-Berichte umfassen einen Agenten, der versucht hat, chmod -R 777 in einem Verzeichnis, einfach weil er auf einen "Permission Denied"-Fehler gestoßen ist. Verwenden Sie diesen Modus niemals.

MCP-Server-Sicherheitsrisiken

MCP (Model Context Protocol)-Server erweitern die Fähigkeiten des Agenten — aber sie erweitern auch seine Angriffsfläche. Jeder MCP-Server, den Sie installieren, gibt dem Agenten Zugriff auf zusätzliche Tools, die ohne Ihr Wissen aufgerufen werden können.

• Überprüfen Sie Ihre MCP-Server regelmäßig — betreiben Sie nur Server, die Sie verstehen und denen Sie vertrauen. Siehe unser MCP-Einrichtungsleitfaden für eine sichere Konfiguration.
• Überprüfen Sie die globale Konfiguration — ein kompromittierter Arbeitsbereich kann Einträge injizieren in ~/.gemini/antigravity/mcp_config.json die global bestehen bleiben.
• Begrenzen Sie die Anzahl der Tools — mehr Tools = größere Angriffsfläche. Halten Sie Ihr MCP-Setup schlank. Siehe unser Leitfaden zu den besten MCP-Servern für geprüfte Empfehlungen.

Für den MCP-Initialisierungsfehler, der häufig während der Einrichtung auftritt, siehe unseren Leitfaden zur Behebung des MCP-EOF-Fehlers.

Wenn Sie kompromittiert wurden

Wenn Sie vermuten, dass der Agent etwas Bösartiges ausgeführt hat oder Sie ein verdächtiges Projekt geöffnet haben:

1. Widerrufen Sie sofort den Google-Zugriff von Antigravity unter myaccount.google.com/connections.
2. Überprüfen Sie die globale MCP-Konfiguration:

3. Rotieren Sie alle Secrets — alle API-Schlüssel, Datenbankpasswörter oder Tokens, die sich in .env Dateien befanden oder aus Ihrem Projektverzeichnis zugänglich waren.
4. Überprüfen Sie die Git-Historie — führen Sie git diff und git log um zu sehen, ob der Agent unerwartete Änderungen an Dateien außerhalb Ihres Arbeitsbereichs vorgenommen hat.
5. Auf Persistenz scannen — überprüfen Sie die Startobjekte, cron jobs und Launch Agents Ihres Systems auf alles, was der Agent möglicherweise installiert hat.