这个东西相当恶心 - 它欺骗 Antigravity 从 .env 文件中窃取 AWS 凭证（通过使用 cat 绕过 .gitignore 限制），然后将它们泄露到一个包含在 Antigravity 浏览器代理默认允许列表中的 webhooks 调试网站。

我所知道的降低这里风险的最佳方法是确保任何对编码代理可见的凭证——如 AWS 密钥——都与具有严格支出限制的非生产账户相关联。 这样，如果凭证被盗，影响范围就会受到限制。