Gemini CLI AIコーディングアシスタントの脆弱性により、密かにコードが実行される恐れ

GoogleのGemini CLIに存在した脆弱性により、攻撃者が許可リストに登録されたプログラムを利用して、開発者のコンピューター上で悪意のあるコマンドを密かに実行し、データを外部に送信できる可能性がありました。

この脆弱性はセキュリティ企業Tracebitによって6月27日に発見・報告され、テックジャイアントであるGoogleは7月25日に公開されたバージョン0.1.14で修正をリリースしました。

Gemini CLIは、2025年6月25日に初めてリリースされた、Googleが開発したコマンドラインインターフェースツールで、開発者がターミナルから直接GoogleのGemini AIと対話できるようにします。

このツールは、プロジェクトファイルを「コンテキスト」として読み込み、その後自然言語を使って大規模言語モデル（LLM）と対話することで、コーディング関連の作業を支援するよう設計されています。

このツールは、推奨事項の提示、コードの作成、さらにはコマンドのローカル実行まで行うことができ、ユーザーへの確認を促す場合や、許可リストの仕組みを利用する場合があります。

リリース直後にこの新しいツールを調査したTracebitの研究者は、悪意のあるコマンドを実行させるよう騙すことが可能であることを発見しました。UX上の弱点と組み合わせることで、これらのコマンドは検知されないコード実行攻撃につながる可能性があります。

このエクスプロイトは、Gemini CLIが「コンテキストファイル」、特に’README.md’や’GEMINI.md’を処理する方法を悪用するものです。これらのファイルはコードベースの理解を助けるためにプロンプトに読み込まれます。

Tracebitは、これらのファイルに悪意のある指示を隠してプロンプトインジェクションを行うことが可能であり、不十分なコマンド解析や許可リスト処理によって悪意のあるコード実行の余地が生まれることを発見しました。

彼らは、無害なPythonスクリプトと細工された’README.md’ファイルを含むリポジトリを用意し、Gemini CLIでスキャンを実行することで攻撃を実証しました。

最初にGeminiに無害なコマンド（’grep ^Setup README.md’）を実行させ、その後、ユーザーの承認を求めずに信頼されたアクションとして扱われる悪意のあるデータ流出コマンドを実行させます。

Tracebitの例で使用されたコマンドは一見grepですが、セミコロン（;）の後に別のデータ流出コマンドが続きます。ユーザーがgrepを許可リストに登録している場合、Gemini CLIはこの文字列全体を安全とみなし自動実行します。

「ホワイトリストとの比較のために、Geminiはこれを’grep’コマンドとみなし、再度ユーザーに確認することなく実行します」とTracebitはレポートで説明しています。

「実際には、これはgrepコマンドの後に、ユーザーの環境変数（秘密情報が含まれる可能性あり）をすべてリモートサーバーに密かに送信するコマンドが続いています。」

「悪意のあるコマンドは、リモートシェルのインストールやファイルの削除など、何でも可能です。」

さらに、Geminiの出力は空白文字で視覚的に操作でき、ユーザーに悪意のあるコマンドの実行を気付かせないようにすることもできます。

Tracebitは、この脆弱性のPoCエクスプロイトを実演するため、以下の動画を作成しました：

この攻撃には、ユーザーが特定のコマンドを許可リストに登録していることなど、いくつかの強い前提条件がありますが、執拗な攻撃者であれば多くの場合で目的を達成できる可能性があります。

これは、AIアシスタントが静かなデータ流出を、見かけ上無害な操作を指示された場合でも実行させられる危険性の一例です。

Gemini CLIの利用者は、バージョン0.1.14（最新）へのアップグレードが推奨されています。また、未知または信頼できないコードベースに対してこのツールを実行することは避けるか、サンドボックス環境でのみ実行してください。

Tracebitによれば、この攻撃手法をOpenAI CodexやAnthropic Claudeなど他のエージェント型コーディングツールでもテストしましたが、これらはより堅牢な許可リスト機構を備えているため、悪用はできませんでした。