기술 설명
터미널 기반 Gemini 접근을 위한 오픈소스 AI 에이전트인 Gemini CLI의 심각한 원격 코드 실행 취약점은 공격자가 샌드박스 초기화 전에 호스트 시스템에서 임의의 명령을 실행할 수 있게 했습니다. 이 결함은 에이전트가 검토, 샌드박싱 또는 사용자 승인 없이 작업 공간 폴더 구성을 자동으로 신뢰하는 것에서 비롯되었습니다.
공격 경로
공격자는 악의적인 에이전트 구성 파일을 대상 작업 공간 폴더에 배치합니다(예: pull request, 공유 저장소 또는 손상된 종속성을 통해). Gemini CLI 또는 run-gemini-cli GitHub Action이 해당 작업 공간에서 실행될 때, 악의적인 구성을 로드하고 에이전트의 권한으로 호스트에서 공격자 제어 명령을 실행하여 비밀, 자격증명, 소스 코드 및 토큰에 대한 액세스를 부여하고 다운스트림 시스템으로의 측면 이동 및 공급망 손상을 초래합니다.
영향받는 시스템
Gemini CLI(Google Gemini용 오픈소스 터미널 에이전트) 및 run-gemini-cli GitHub Action은 2026년 4월 패치 이전에 이러한 도구를 사용하는 개발자 및 CI/CD 파이프라인에 영향을 미칩니다. Novee Security의 연구원들이 취약점을 발견했으며 Google과 함께 공개 및 패칭을 조율했습니다.
완화 방안
Google이 Gemini CLI와 run-gemini-cli GitHub Action을 모두 패칭했습니다. 즉시 최신 버전으로 업데이트하세요. 악의적인 구성 로드 또는 예상치 못한 명령 실행의 증거가 있는지 CI/CD 파이프라인 로그 및 GitHub Actions 워크플로우를 검토하세요. Claude Code, GitHub Copilot Agent 및 작업 공간 구성을 자동 로드하는 다른 도구에서 유사한 취약점이 존재할 수 있으므로 다른 AI 에이전트 및 코딩 어시스턴트의 작업 공간 신뢰 모델을 감시하세요. 에이전트 실행 전에 작업 공간 샌드박싱 및 구성 검토 게이트를 구현하세요.