技術的な説明
Gemini CLI(Googleのオープンソースター ミナルAIエージェント)は--yoloモードでツール許可リストを無視し、すべてのコマンドを自動承認します。攻撃者は隠された悪意のあるプロンプトを含むGitHubイシューをリポジトリに公開できます。エージェントがイシューを自動トリアージする際、注入された命令を実行し、シークレットを抽出し、書き込みアクセストークンにピボットし、人間の対話なしで完全なサプライチェーン侵害を実現します。
攻撃経路
攻撃者は対象リポジトリ(例:Googleプロジェクト)に公開イシューを投稿し、間接プロンプトインジェクションペイロードをイシューテキストに隠します。開発者またはCIシステムが--yoloモードでGemini CLIを実行してイシューを自動トリアージします。エージェントは悪意のあるプロンプトを読み込み、ビルド環境から内部シークレットを抽出し、攻撃者が管理するサーバーに送信し、それらの認証情報を使用して書き込みアクセストークンを取得します。完全なリポジトリ侵害に至ります。CI/CDで必要なユーザー操作はゼロです。
影響を受けるシステム
Gemini CLIの--yoloモード。この脆弱性はPillar Securityにより2026年5月7日に開示され、CVSSスコアは10.0(最大重大度)です。GoogleはGemini CLIの最新リリースで脆弱性に対応しました。
緩和策
Gemini CLIを直ちに更新してください。本番環境またはCI/CDパイプラインで--yoloモードを使用しないでください。AIエージェント向けに厳密なツール許可リストを実装してください。パブリックリポジトリのGitHubイシューで間接プロンプトインジェクションペイロード(異常なフォーマット、隠されたテキスト、Base64ブロブ)を確認してください。パッチ前にGemini CLIが自動トリアージモードで使用された場合、公開された可能性があるシークレットをローテーションしてください。