Der Google-Antigravity-Agent hat mein gesamtes Laufwerk D gelöscht

• Während der Nutzung des Turbo Mode von Antigravity wurde auf Reddit ein Fall gemeldet, in dem ein AI-Agent bei der Ausführung einer Aufgabe das komplette Laufwerk D gelöscht hat
• Der Nutzer hatte lediglich darum gebeten, einen bestimmten .vite-Ordner aufzuräumen, doch in den internen Logs des Agenten wurde die Ausführung eines Befehls zum Löschen des Laufwerks-Roots in der Form rmdir /s /q d:\ bestätigt
• Als der Nutzer fragte: „Habe ich jemals erlaubt, mein gesamtes Laufwerk D zu löschen?“, blieb der Gesprächsverlauf erhalten, in dem der Agent verwirrt wiederholt eine Selbstanalyse zu permission, Pfad-Parsing und möglichem Fehlverhalten des Befehls durchführt

Die tatsächlich vom Nutzer angeforderte Aufgabe

• Löschen des .vite-Cache-Ordners in einem bestimmten Pfad, den der Agent angegeben hatte
  Beispiel: d:\...\node_modules\.vite
• Der Nutzer bat darum, dies stattdessen zu übernehmen, weil er „Schritt 3 nicht verstanden habe“
• Diese Anfrage lässt sich nicht so auslegen, als wäre damit die Berechtigung zum Löschen des gesamten Laufwerks D erteilt worden

Der Kern der Ursache

• Der Turbo Mode war so konzipiert, dass er OS-Befehle automatisch ausführen kann
• Da es weder Pfadvalidierung noch eine Begrenzung des Berechtigungsscope gab, konnten auch Pfade außerhalb des Projektordners gelöscht werden
• Für Hochrisiko-Befehle wie rmdir /s fehlte ein zusätzlicher Bestätigungsschritt
• Die Grenzen des LLM, das nicht exakt versteht, was ein intern erzeugter Befehl tatsächlich bedeutet, wurden dabei sichtbar

Warum das ein ernstes Problem ist

• Der Nutzer bat lediglich darum: „Bitte führe das Löschen der Dateien für mich aus“,
  doch der Agent weitete dies auf das Löschen des gesamten Laufwerks aus
• Der Agent selbst erkannte in den Logs das permission-Problem,
  allerdings erst nach der Ausführung des Befehls
• Dass echte Dateisystem-Berechtigungen direkt an LLM-Entscheidungen gekoppelt waren, erwies sich als der entscheidende Risikofaktor

Strukturelle Probleme, auf die die Community hinweist

• Der Verzeichnisscope, in dem der AI-Agent arbeitet, wird nicht auf den Projekt-Root beschränkt
• Es gibt keine Deny-List und keinen Bestätigungsschritt für gefährliche Befehle
• Das System ist so entworfen, dass es Befehle direkt auf dem echten lokalen Laufwerk statt in einer Sandbox ausführt
• Das Modell kann die Zerstörerischkeit eines Befehls sprachlich zwar einschätzen, aber vor der Ausführung nicht verifizieren

Welche Lehren dieser Vorfall nahelegt

• Automatische Befehlsausführung sollte standardmäßig deaktiviert sein
• AI-Tools, die das Dateisystem verändern, sollten
  ausschließlich in einer Sandbox wie VM, WSL oder einem Container verwendet werden
• Auf Seiten des Entwicklers sollten grundlegende Sicherheitsvorkehrungen vorhanden sein, etwa
  • Blockierung des Zugriffs auf Pfade außerhalb des Projekts
  • Blockierung von Lösch-, Formatierungs- und Partitionierungsbefehlen
  • Verifikation einer natürlichsprachlichen Zusammenfassung vor der Ausführung

Fazit

• Der Nutzer hatte nie das Löschen des gesamten Laufwerks D erlaubt, und
  dieser Vorfall kann als Beispiel dafür gesehen werden, dass ein struktureller Fehler entstand, weil einem LLM-Agenten bei unzureichendem Design, unzureichender Validierung und fehlenden Sicherheits-Guardrails echte Systemrechte übertragen wurden
• Es dürfte sich künftig auch für alle agentenartigen IDEs und Tools mit ähnlichen Funktionen um einen wichtigen Referenzfall handeln