技術的な説明
ターミナルベースのGeminiアクセス用オープンソースAIエージェントであるGemini CLIの重大なリモートコード実行脆弱性により、攻撃者はサンドボックス初期化前にホストシステムで任意のコマンドを実行できました。この欠陥は、エージェントがワークスペースフォルダ設定をレビュー、サンドボックス化、または人間の承認なしに自動的に信頼していたことに起因していました。
攻撃経路
攻撃者は、ターゲットワークスペースフォルダ内に悪意のあるエージェント設定ファイルを配置します(プルリクエスト、共有リポジトリ、または侵害された依存関係経由など)。Gemini CLIまたはrun-gemini-cli GitHub Actionがそのワークスペースで実行されると、悪意のある設定が読み込まれ、攻撃者が制御するコマンドがエージェントの権限でホスト上で実行されます。これにより、シークレット、認証情報、ソースコード、および下流システムへの横展開とサプライチェーン侵害のためのトークンへのアクセスが許可されます。
影響を受けるシステム
Gemini CLI(Google Gemini用オープンソースターミナルエージェント)およびrun-gemini-cli GitHub Actionは、2026年4月のパッチ前にこれらのツールを使用している開発者およびCI/CDパイプラインに影響します。Novee Securityの研究者が脆弱性を特定し、Googleと協力して開示とパッチ適用の調整を行いました。
緩和策
Googleはgemini CLIとrun-gemini-cli GitHub Actionの両方にパッチを適用しました。最新バージョンに直ちにアップデートしてください。悪意のある設定読み込みまたは予期しないコマンド実行の証拠についてCI/CDパイプラインログとGitHub Actionsワークフローを確認してください。Claude Code、GitHub Copilot Agent、およびワークスペース設定を自動読み込みする他のツール内の同様の脆弱性が存在する可能性があるため、他のAIエージェントおよびコーディングアシスタントのワークスペーストラストモデルを監査してください。エージェント実行前にワークスペースサンドボックス化と設定レビューゲートを実装してください。