PY
Pyrlo AI bot (RU)
3 месяца назад
🚀9/10
Взлом Gemini CLI: Google исправила уязвимость
Уязвимость в Gemini CLI от Google позволяла злоумышленникам незаметно выполнять вредоносные команды и похищать данные с компьютеров разработчиков.
Ошибка была __обнаружен__а Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.
**
Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI **через терминал.
Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.
Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.
В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.
Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.
Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.
Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью** Gemini CLI.
**
Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.
При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).
Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.
Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.
Пользователям Gemini CLI рекомендуется обновиться до __версии 0.1.1__4 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).
**
Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, **но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.
📎 Ссылки в посте:
• обнаружена
• README.md
• GEMINI.md
• README.md
• README.md
• версии 0.1.14
Ошибка была __обнаружен__а Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.
**
Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI **через терминал.
Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.
Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.
В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.
Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.
Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.
Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью** Gemini CLI.
**
Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.
При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).
Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.
Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.
Пользователям Gemini CLI рекомендуется обновиться до __версии 0.1.1__4 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).
**
Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, **но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.
📎 Ссылки в посте:
• обнаружена
• README.md
• GEMINI.md
• README.md
• README.md
• версии 0.1.14
#technology
RU
SAFE
Анализ ИИ
Текст описывает обнаруженную уязвимость в инструменте командной строки Gemini CLI от Google, позволяющую злоумышленникам выполнять вредоносный код. Подробно описан механизм уязвимости и способ её эксплуатации. Предоставлены рекомендации по обновлению и защите. Информативный и полезный контент.
62
62