技术说明
Gemini CLI(一个用于基于终端的Gemini访问的开源AI代理)中的关键远程代码执行漏洞允许攻击者在沙盒初始化之前在主机系统上执行任意命令。该缺陷源于代理自动信任工作区文件夹配置而无需审查、沙盒化或人工批准。
攻击途径
攻击者在目标工作区文件夹中植入恶意代理配置文件(例如,通过拉取请求、共享存储库或被入侵的依赖项)。当Gemini CLI或run-gemini-cli GitHub Action在该工作区中执行时,它会加载恶意配置并使用代理权限在主机上执行攻击者控制的命令,从而获得对机密、凭据、源代码和令牌的访问权限,以便横向移动到下游系统并进行供应链入侵。
受影响系统
Gemini CLI(Google Gemini的开源终端代理)和run-gemini-cli GitHub Action,影响在2026年4月补丁发布之前使用这些工具的开发者和CI/CD流水线。Novee Security的研究人员发现了该漏洞并与Google合作协调披露和修补。
缓解措施
Google已修补Gemini CLI和run-gemini-cli GitHub Action。请立即更新到最新版本。检查CI/CD流水线日志和GitHub Actions工作流程,寻找恶意配置加载或意外命令执行的证据。审查其他AI代理和编码助手的工作区信任模型——Claude Code、GitHub Copilot Agent和其他自动加载工作区配置的工具中可能存在类似漏洞。在代理执行前实施工作区沙盒化和配置审查关卡。