Penjelasan teknis
Gemini CLI (agen terminal AI open-source Google) dalam mode --yolo mengabaikan daftar izin alat dan secara otomatis menyetujui semua perintah. Penyerang dapat membuat masalah GitHub publik di repositori dengan prompt berbahaya tersembunyi. Ketika agen secara otomatis mengelola masalah, ia menjalankan instruksi yang disuntikkan—mengekstrak rahasia, pivot ke token akses tulis, dan mencapai kompromi rantai pasokan lengkap tanpa interaksi manusia.
Vektor serangan
Penyerang memposting masalah publik di repositori target (misalnya proyek Google) dengan muatan injeksi prompt tidak langsung tersembunyi dalam teks masalah. Pengembang atau sistem CI menjalankan Gemini CLI dengan mode --yolo untuk mengelola masalah secara otomatis. Agen membaca prompt berbahaya, mengekstrak rahasia internal dari lingkungan build, mengirimkannya ke server yang dikendalikan penyerang, kemudian menggunakan kredensial tersebut untuk mendapatkan token akses tulis. Kompromi repositori lengkap menyusul. Tidak diperlukan interaksi pengguna sama sekali di CI/CD.
Sistem yang terdampak
Gemini CLI dalam mode --yolo. Masalah diungkapkan pada 7 Mei 2026 oleh Pillar Security dengan skor CVSS 10.0 (keparahan maksimum). Google telah menambal kerentanan di rilis Gemini CLI terbaru.
Mitigasi
Perbarui Gemini CLI segera. Jangan pernah gunakan mode --yolo di lingkungan produksi atau saluran pipa CI/CD. Implementasikan daftar izin alat ketat untuk agen AI. Tinjau masalah GitHub di repositori publik untuk muatan injeksi prompt tidak langsung (pemformatan tidak biasa, teks tersembunyi, blob base64). Rotasi rahasia yang mungkin telah terekspos jika Gemini CLI digunakan dalam mode pengelolaan otomatis sebelum patch.