Google беше принуден да коригира сериозна уязвимост в новия си инструмент Gemini CLI, която е позволявала на нападатели незабелязано да изпълняват злонамерени команди и да извличат чувствителни данни от компютрите на разработчици. Уязвимостта е открита от компанията за киберсигурност Tracebit и е докладвана на 27 юни 2025 г. Поправката е включена във версия 0.1.14 на инструмента, публикувана на 25 юли.

Gemini CLI е команден интерфейс, който позволява на разработчици да взаимодействат с ИИ модела Gemini на Google директно от терминала. Инструментът предлага възможности за разбиране на кодова база, генериране на код и дори локално изпълнение на команди — или с потвърждение от потребителя, или чрез списък с позволени действия (allow-list).

Как е осъществена атаката

Според Tracebit, уязвимостта позволява “prompt injection” чрез файловете README.md и GEMINI.md, които се анализират от Gemini CLI, за да помогнат в разбирането на проектите. При специално подготвено съдържание в тези файлове, инструментът може да бъде накаран да изпълни зловреден код, особено когато се използват слабо дефинирани правила за позволени команди.

В доказателството на концепцията, експертите демонстрират как Gemini CLI стартира безобидна команда, например:

…но в действителност тя е последвана от зловредна инструкция, добавена след точка и запетая:

Тъй като grep е предварително позволена команда, инструментът изпълнява цялата линия автоматично, без да уведомява потребителя. Това води до експортиране на средата на потребителя (включително потенциално секрети), инсталиране на обвивки, изтриване на файлове и други възможни действия.

Допълнителна заблуда чрез визуално прикриване

Нападателите могат допълнително да манипулират изхода, използвайки празни пространства и празни редове, за да скрият истинското съдържание на командата от погледа на потребителя. Така дори при преглед на терминалния изход, злонамерената дейност остава невидима.

Потенциал и защита

Въпреки че експлойтът изисква специфични условия — като потребителят да е позволил дадена команда — рисковете са значителни, особено ако Gemini CLI се използва върху непознати или публични хранилища с код.

От Tracebit предупреждават, че други ИИ инструменти, като OpenAI Codex и Anthropic Claude, не са податливи на същата атака, тъй като имат по-строги механизми за валидиране на командите.

Препоръки

• Актуализирайте Gemini CLI до версия 0.1.14 или по-нова

• Не използвайте инструмента върху непознати или съмнителни проекти, освен ако не е в изолирана среда

• Избягвайте allow-list конфигурации, които позволяват автоматично изпълнение на команди без потвърждение

• Преглеждайте внимателно входните файлове за проектите, особено README.md