Фахівці з кібербезпеки з компанії Tracebit виявили критичну вразливість у командному інтерфейсі Google Gemini CLI. Вона дозволяла непомітно запускати шкідливі команди, якщо користувач переглядав потенційно небезпечний код за допомогою ШІ.
Google Gemini CLI — це інструмент командного рядка, який дає змогу розробникам працювати з ШІ-моделлю Gemini безпосередньо з терміналу. Серед можливостей:
- аналіз, генерація та інтерпретація коду за допомогою ШІ;
- обробка текстових команд і запитів до моделі Gemini;
- перегляд стороннього коду, створення функцій, виправлення помилок і виконання інших інженерних завдань.
Аналітик Tracebit Сем Кокс пояснив, що «через токсичне поєднання слабкої валідації, можливості ін’єкції команд через промпт і оманливий інтерфейс, перегляд коду міг стабільно призводити до тихого виконання шкідливих інструкцій».
Дослідник сховав ін’єкцію в README.md — файл із текстом GNU Public Licence, що супроводжував нешкідливий скрипт на Python. В результаті Gemini виконав команду для збирання змінних середовища й передачі їх на сторонній сервер через curl.
Джерело: Tracebit.
Після отримання звіту 27 червня Google спершу присвоїла вразливості другий рівень пріоритету та четвертий рівень критичності у програмі Bug Hunters.
Однак менш ніж за три тижні статус було оновлено до найвищого — як такої, що потребує термінового усунення. Уразливість могла спричинити серйозні витоки даних, несанкціонований доступ або виконання довільного коду.
Користувачам рекомендують оновити інструмент до версії Gemini 0.1.14, у якій реалізовано захист від виконання подібних команд та впроваджено додаткові засоби протидії.
Увімкнення «пісочниці» — ізольованого середовища, що обмежує доступ до системи, — також запобігає атаці, описаній Коксом. Втім, після встановлення Gemini CLI за замовчуванням працює без пісочниці.
Нагадаємо, у червні інструмент на основі ШІ під назвою Xbow очолив рейтинг білих хакерів, які виявили найбільшу кількість уразливостей у ПЗ великих компаній.