Krytyczna podatność na bezpieczeństwo została odkryta w narzędziu Google Gemini CLI, zaledwie kilka dni po uruchomieniu 25 czerwca 2025 r. Tracebit zidentyfikował wadę, która mogła pozwolić podmiotom zagrożeniowym kierować do programistów z złośliwym oprogramowaniem i exfiltowaniem poufnych informacji z ich urządzeń bez wykrycia.
Narzędzie Gemini CLI zostało zaprojektowane tak, aby umożliwić programistom interakcję z AI Google bezpośrednio z wiersza poleceń, dostarczając sugestie dotyczące kodu i wykonywanie poleceń na urządzeniu użytkownika. Podatność wynikała z zdolności narzędzia do automatycznego uruchamiania poleceń z listy zezwoleń. Naukowcy odkryli, że złośliwe instrukcje można ukryć w plikach, które czyta Gemini, takie jak pliki ReadMe.md.
Według Travebit, atakujący mogli sparować pozornie nieszkodliwe polecenia z złośliwymi, używając sztuczek formatowych, aby ukryć niebezpieczny kod. Podczas testowania naukowcy wykazali, w jaki sposób złośliwe polecenie może wykryć poufne informacje, takie jak zmienne systemowe lub poświadczenia na serwerze stron trzecich bez wiedzy i zatwierdzenia użytkownika. „Złośliwe polecenie może być wszystkim (instalowanie zdalnej powłoki, usuwanie plików itp.)” – wyjaśnili naukowcy.
Chociaż atak wymagał pewnej konfiguracji, w tym posiadania zaufanego polecenia na liście pozwoleń, stanowił znaczące ryzyko dla niczego niepodejrzewających programistów. Od tego czasu Google zajął się podatnością na wydanie wersji 0.1.14. Użytkownikom zaleca się, aby natychmiastowa aktualizacja tej wersji lub nowsza i unikanie uruchamiania CLI Gemini w niezaufanym kodzie, chyba że w bezpiecznym środowisku testowym.
Source: Główne ostrzeżenie o bezpieczeństwie dla programistów korzystających z Bliźnięta
