기술 설명
Gemini CLI (Google의 오픈소스 AI 터미널 에이전트)는 --yolo 모드에서 도구 허용 목록을 무시하고 모든 명령을 자동으로 승인합니다. 공격자는 공개 GitHub 저장소에 숨겨진 악성 프롬프트가 포함된 이슈를 생성할 수 있습니다. 에이전트가 자동으로 이슈를 분류할 때, 주입된 명령을 실행하여 비밀정보를 추출하고, 쓰기 액세스 토큰으로 전환하며, 인간의 상호작용 없이 전체 공급망 침해를 달성합니다.
공격 경로
공격자는 간접 프롬프트 주입 페이로드가 숨겨진 이슈 텍스트와 함께 대상 저장소(예: Google 프로젝트)에 공개 이슈를 게시합니다. 개발자 또는 CI 시스템이 Gemini CLI를 --yolo 모드로 실행하여 이슈를 자동으로 분류합니다. 에이전트가 악성 프롬프트를 읽고, 빌드 환경에서 내부 비밀정보를 추출한 후, 공격자가 제어하는 서버로 전송하고, 해당 자격 증명을 사용하여 쓰기 액세스 토큰을 획득합니다. 이어서 전체 저장소 침해가 발생합니다. CI/CD에서 사용자 상호작용이 전혀 필요하지 않습니다.
영향받는 시스템
Gemini CLI의 --yolo 모드입니다. 이 취약점은 2026년 5월 7일에 Pillar Security에 의해 공개되었으며, CVSS 점수는 10.0(최대 심각도)입니다. Google은 최신 Gemini CLI 릴리스에서 이 취약점을 패치했습니다.
완화 방안
Gemini CLI를 즉시 업데이트하세요. 프로덕션 또는 CI/CD 파이프라인에서 --yolo 모드를 사용하지 마세요. AI 에이전트를 위한 엄격한 도구 허용 목록을 구현하세요. 공개 저장소의 GitHub 이슈에서 간접 프롬프트 주입 페이로드(비정상적인 형식, 숨겨진 텍스트, base64 blob)를 검토하세요. 패치 이전에 Gemini CLI가 자동 분류 모드에서 사용된 경우, 노출되었을 수 있는 비밀정보를 회전하세요.