技术说明
Gemini CLI(Google的开源AI终端代理)在--yolo模式下会忽略工具允许列表并自动批准所有命令。攻击者可以在仓库上创建带有隐藏恶意提示的公开GitHub issue。当代理自动分类该issue时,它会执行注入的指令——提取机密信息,转向写访问令牌,并在无人工交互的情况下实现完全的供应链妥协。
攻击途径
攻击者在目标仓库(例如Google项目)上发布带有隐藏在issue文本中的间接提示注入载荷的公开issue。开发者或CI系统运行带有--yolo模式的Gemini CLI来自动分类该issue。代理读取恶意提示,从构建环境中提取内部机密,将其发送到攻击者控制的服务器,然后使用这些凭据获取写访问令牌。随后实现完全仓库妥协。在CI/CD中无需零用户交互。
受影响系统
--yolo模式下的Gemini CLI。该漏洞由Pillar Security在2026年5月7日披露,CVSS评分为10.0(最高严重性)。Google已在最新的Gemini CLI版本中修补了该漏洞。
缓解措施
立即更新Gemini CLI。永远不要在生产环境或CI/CD管道中使用--yolo模式。为AI代理实施严格的工具允许列表。检查公共仓库上的GitHub issue是否存在间接提示注入载荷(异常格式、隐藏文本、base64块)。如果在补丁前曾在自动分类模式下使用Gemini CLI,请轮换可能已暴露的机密。