Cái này khá tệ - nó lừa Antigravity lấy cắp thông tin xác thực AWS từ một tệp .env (vượt qua các hạn chế của .gitignore bằng cách sử dụng cat) và sau đó rò rỉ chúng đến một trang web gỡ lỗi webhook được bao gồm trong danh sách cho phép mặc định của tác nhân trình duyệt Antigravity.

Cách tốt nhất mà tôi biết để giảm thiểu rủi ro ở đây là đảm bảo rằng bất kỳ thông tin xác thực nào có thể nhìn thấy đối với các tác nhân lập trình - như khóa AWS - đều được liên kết với các tài khoản không phải sản xuất có giới hạn chi tiêu nghiêm ngặt. Bằng cách đó, nếu thông tin xác thực bị đánh cắp, phạm vi thiệt hại sẽ được giới hạn.