Dit is behoorlijk gemeen - het misleidt Antigravity om AWS-inloggegevens te stelen uit een .env-bestand (door .gitignore-beperkingen te omzeilen met behulp van cat) en lekt ze vervolgens naar een webhooks-debuggingwebsite die is opgenomen in de standaard toestemmingslijst van de Antigravity-browseragent.

De beste aanpak die ik ken om het risico hier te verminderen, is ervoor te zorgen dat alle inloggegevens die zichtbaar zijn voor coderingsagenten - zoals AWS-sleutels - zijn gekoppeld aan niet-productieaccounts met strikte bestedingslimieten Op die manier is de impact beperkt als de inloggegevens worden gestolen.