Компания Tracebit выявила серьёзную уязвимость в недавно выпущенном инструменте Gemini CLI от Google, предназначенном для взаимодействия с языковой моделью Gemini.
Всего через два дня после релиза стало известно, что программа может выполнять вредоносные команды без ведома пользователя и передавать конфиденциальные данные на удалённые серверы. Уязвимость была признана критичной и устранена в обновлении версии 0.1.14, выпущенном 25 июля.
Gemini CLI — это консольный интерфейс, представленный Google 25 июня 2025 года. Инструмент ориентирован на разработчиков и позволяет загружать проектные файлы в «контекст», взаимодействуя с ИИ на естественном языке. Помимо генерации кода и предложений, он может выполнять команды на локальной машине — либо по подтверждению пользователя, либо автоматически, если команда входит в список разрешённых.
Исследователи Tracebit обнаружили, что через файлы проекта, такие как README.md и GEMINI.md, возможно внедрение скрытых команд. Эти файлы анализируются Gemini CLI как часть контекста, и если внутри них содержится команда с разрешённым названием (например, grep), то инструмент может автоматически выполнить её без дополнительной проверки.
Проблема в том, что к разрешённой команде можно подставить вредоносную инструкцию через точку с запятой. Таким образом, даже безопасная на вид строка превращается в канал утечки переменных окружения или других данных на внешние ресурсы.
В демонстрации Tracebit показано, как безобидный Python-проект с модифицированным README-файлом инициирует отправку чувствительной информации после команды grep, замаскировав вторую часть команды пробелами. Это позволяет обойти визуальную проверку со стороны пользователя и избежать запроса подтверждения от Gemini CLI. Такой подход стал возможен из-за наивного механизма обработки разрешённых команд.
Несмотря на то, что успешная атака требует заранее настроенного списка доверенных команд и определённых условий, специалисты заявляют, что защита от таких сценариев должна быть встроена в систему по умолчанию. Использование ИИ-инструментов, работающих в доверенной среде, без должного уровня проверки может привести к реальным угрозам безопасности.
Платформы OpenAI Codex и Anthropic Claude, по данным Tracebit, оказались менее уязвимыми к подобным манипуляциям — в них предусмотрены более строгие правила исполнения команд и фильтрации ввода.
Пользователям Gemini CLI настоятельно рекомендуется перейти на обновление 0.1.14, а также не запускать анализ неизвестных репозиториев вне изолированных сред. Уязвимость показала, насколько легко даже передовой ИИ-инструмент может стать инструментом атаки при недостаточном контроле.
Ещё по теме:
- Domino’s запускает робопса Boston Dynamics для доставки пиццы и отпугивания чаек на пляжах
- Pony.ai первой в Китае запустила круглосуточные беспилотные такси в трёх мегаполисах
- Сколько загрязнения создаёт ИИ? Разработчики Mistral опубликовали разбор
