Критическая уязвимость в Google Gemini CLI: как вредоносный код может быть запущен через интерфейс

Опубликовано: August 1, 2025

Сервис кибербезопасности Tracebit выявил серьезную уязвимость в Google Gemini CLI, которая дает возможность незамеченно исполнять вредоносные команды, когда пользователь анализирует подозрительный код с помощью нейросети.

Google Gemini CLI представляет собой инструмент командной строки (CLI), позволяющий разработчикам напрямую взаимодействовать с ИИ-моделью Gemini от Google через терминал. С его помощью можно:

Сэм Кокс, сотрудник Tracebit, отметил, что «сочетание неправильной валидации, возможности внедрения команд через промпт и запутанного интерфейса создает ситуацию, когда просмотр кода стабильно приводит к скрытому выполнению вредоносных инструкций».

Спрятав «инъекцию» промпта в файл README.md, который также содержал полный текст лицензии GNU Public License и прилагался к безопасному скрипту на Python, эксперт смог заставить Gemini отправлять учетные данные на удаленный сервер при помощи команд env и curl.

Изначально Google оценил обнаруженную уязвимость как имеющую приоритет два и четвертый уровень серьезности в рамках своей программы Bug Hunters после того, как получил отчет 27 июня.

Примерно через три недели корпорация пересмотрела свою оценку и повысила приоритет уязвимости до самой серьезной, требующей немедленного внимания, так как она может привести к значительным утечкам данных, несанкционированному доступу и выполнению произвольного кода.

Пользователям настоятельно рекомендовано обновиться до версии Gemini 0.1.14, где внедрены новые механизмы защиты от выполнения команд оболочки и предприняты меры против описанной угрозы.

Активация «песочницы» — изолированной среды, защищающей систему пользователя — также позволяет предотвратить атаку, обнаруженную Коксом.

Тем не менее, после установки Gemini CLI по умолчанию работает без активации песочницы.

Стоит напомнить, что в июне ИИ-инструмент Xbow возглавил рейтинг белых хакеров, которые идентифицировали и сообщили о наибольшем количестве уязвимостей в программном обеспечении крупных компаний.