Kritische Schwachstelle in der Gemini CLI ermöglicht Remote-Code-Execution-Angriffe

Gemini CLI RCE-Schwachstelle Das erste Problem betrifft das Verzeichnisvertrauen im Headless-Modus. In früheren Versionen vertraute die Gemini CLI automatisch dem aktuellen Workspace, wenn sie in nicht-interaktiven Umgebungen lief.

Das bedeutete, dass das Tool lokale Konfigurationsdateien und Umgebungsvariablen aus dem.gemini/ Verzeichnis ohne explizite Genehmigung laden konnte. Wenn ein Angreifer bösartigen Inhalt in dieses Verzeichnis einfügt, könnte die CLI ihn verarbeiten und potenziell schädliche Befehle ausführen.

In der Praxis schuf dies einen Weg zur Ausführung, die nicht vertrauenswürdige Repositories verarbeiteten. Das zweite Problem betrifft die Tool-Allowlisting unter dem Modus –yolo.

Frühere Versionen setzten die feingranularen Tool-Beschränkungen,

Frühere Versionen setzten die feingranularen Tool-Beschränkungen, die in ~/.gemini/settings.json definiert sind, nicht ordnungsgemäß durch, wenn –yolo aktiviert war. Wenn beispielsweise ein Workflow run_shell_command erlaubte, könnte die Richtlinie zu weit gefasst werden und gefährliche Befehle anstelle nur genehmigter zulassen.

In Umgebungen, die nicht vertrauenswürdige Prompts oder benutzerkontrollierten Text verarbeiten, könnte diese Schwachstelle durch Prompt Injection missbraucht werden, um die Befehlsausführung auszulösen.

Das Advisory besagt, dass die Auswirkung auf Gemini CLI-Deployments im Headless-Modus beschränkt ist, aber dies umfasst immer noch viele GitHub Actions Workflows.

Sicherheitslage und Risiko

Google warnt, dass alle Benutzer überprüfen sollten, wie Gemini CLI in Automatisierungspipelines konfiguriert ist, insbesondere dort, wo externe Mitwirkende Dateien, Prompts oder Umgebungseinstellungen beeinflussen können. Gepatchte Versionen sind jetzt verfügbar.

Benutzer sollten @google/gemini-cli auf oder aktualisieren. Die run-gemini-cli GitHub Action ist in Version gepatcht.

Workflows, die ältere Gemini CLI-Versionen fixieren, sollten sofort aktualisiert werden. Google hat außerdem eine abbrechende Sicherheitsänderung eingeführt.

Einordnung fuer Autofahrer

Der Headless-Modus vertraut nicht mehr automatisch Workspace-Ordnern. Organisationen, die vertrauenswürdige Eingaben verwenden, müssen GEMINI_TRUST_WORKSPACE: ‘true’ explizit einstellen.

Für Workflows, die nicht vertrauenswürdige Inhalte verarbeiten, empfiehlt Google, seine Verschärfungsrichtlinien zu befolgen und die Einstellungen für erlaubte Tools und Befehlsausführung sorgfältig zu überprüfen. Der Fehler wurde (Novee Security) und Dan Lisichkin (Pillar Security) über Googles Vulnerability Rewards Program gemeldet.

Der Fall verdeutlicht ein wachsendes Risiko bei KI-gestützten Entwicklertools: Wenn Automatisierung, Prompt-Verarbeitung und Shell-Zugriff auf nicht vertrauenswürdige Eingaben treffen, können kleine Lücken in der Richtlinie schnell zu kritischen Angriffsvektoren werden. Sie uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag Critical Gemini CLI Vulnerability Enables Remote Code Execution Attacks erschien zuerst bei