Помилка в інструменті кодування Gemini CLI дозволяє хакерам викрадати облікові дані розробника

Дослідники кібербезпеки з компанії Tracebit виявили критичну вразливість в інструменті кодування Gemini CLI. Вона дозволяє непомітно виконувати шкідливі команди при перегляді коду. Про це повідомляє Ars Technica.

Google Gemini CLI — це інструмент командного рядка, який підключається до Gemini 2.5 Pro, найсучаснішої LLM-моделі Google для кодування та симуляції мислення. Gemini CLI схожий на Gemini Code Assist, за винятком того, що він створює або змінює код у вікні терміналу, а не в текстовому редакторі. 

Співробітник Tracebit Сем Кокс розповів, що хакер сховав prompt-injection у файл README.md. Як правило, розробники перевіряють текст у цих файлах менш уважно, ніж програмний код. Однак, виявилось, що два десятки рядків природною мовою у файлі README використовували низку вразливостей, які, будучи об’єднаними разом, змушували інструмент Gemini CLI непомітно вводити команди у вікно команд користувача. Вони змушували пристрій розробника підключатися до сервера, контрольованого зловмисником, і передавати йому облікові дані. 

Після отримання першого звіту 27 червня компанія Google призначила виявленій вразливості пріоритет два і четвертий рівень серйозності в рамках програми Bug Hunters. Через три тижні Google перекласифікувала вразливість як критичну і таку, що потребує термінової та негайної уваги, оскільки вона може призвести до значного витоку даних, несанкціонованого доступу або виконання довільного коду.

Розробникам, які використовують інструмент Gemini CLI, рекомендується оновитися до версії Gemini 0.1.14, до якої додано механізми захисту від виконання команд оболонки та реалізовано заходи проти описаної атаки.