ターミナルから直接Geminiへの軽量アクセスを提供するように設計されたオープンソースAIエージェント「Gemini CLI」に、リモートコード実行の重大な脆弱性が研究者によって最近発見されました。
この脆弱性は、Gemini CLIと「run-gemini-cli」GitHub Actionの両方でGoogleによって修正されており、Novee Securityの研究者によって特定されました。
研究者は「Gemini CLIが現在のワークスペースフォルダを自動的に信頼し、レビュー、サンドボックス化、または人間の承認なしにそこで見つけたエージェント設定をロードしていた」ことに気付きました。
攻撃者がそのフォルダに悪意のある構成を配置できた場合、AIエージェントをサンドボックス初期化前にホスト上で任意のコマンドを実行させることができていました。
「影響を受けたすべてのワークフローにおいて、影響は同じでした。エージェントを実行しているホスト上でのコード実行により、権限のない外部者がワークフローが到達できるあらゆるシークレット、認証情報、ソースコードにアクセスできました」とNovee研究者は説明しています。
研究者によると、脅威アクターはこの脆弱性を悪用してトークンを盗み、下流システムへの横展開を取得できていた可能性があります。
CI/CDパイプラインの文脈では、攻撃者はこの脆弱性を利用してサプライチェーン攻撃を実行できていた可能性があります。
Novee研究者は以下のように述べています:
「AIコーディングエージェントは現在、CI/CDパイプライン内に位置し、信頼されたコントリビューターの実行権限を保有し、コントリビューターが触れるのと同じワークスペースから読み取っています。このレベルのアクセスは重大なサプライチェーン攻撃につながる可能性があり、これは開発者ワークフロー自体から生じる型の攻撃です。」
この攻撃にはプロンプトインジェクションやモデルの判断は関与していませんでした。
異なる研究者チームは最近、Claude Code Security Review、Gemini CLI Action、およびGitHub Copilot Agentに関連するAIエージェントが、悪意のあるGitHubコメント経由でハイジャック可能であることを実証しました。
