Pillar SecurityがGoogleのAntigravity IDEで、プロンプトインジェクションをきっかけにネイティブツールを悪用しサンドボックスから抜ける手口を4月22日に公開した。同種の課題はClaude CodeやGemini CLIでも先週「Comment and Control」として報告されている。
何が共通か
外部から取り込んだコメントやファイル内文字列が、モデルから見れば指示として通る。データと命令を区別する仕組みがない以上、IDE側の権限境界で防ぐ前提に切り替える話。
自前運用で見る点
- ツール呼び出しのスコープが入力源と独立に絞られているか
- リポジトリ外のネットワーク・ファイルアクセスを既定で禁止しているか
- エージェントの自律実行とレビュー必須の境目が明示されているか
仕様修正待ちより、IDE設定とCI側の二重化が現実的。