Googleは、Gemini CLIツールおよび関連するGitHub Actionに最大深刻度の脆弱性を修正しました。この脆弱性はGHSA-wpqr-6v78-jr5gで追跡されており、CVSS スコア10.0(最高評価)を持っています。
この欠陥はNovee SecurityのElad MegedによってGoogleの脆弱性報奨プログラムを通じて報告され、権限のない外部攻撃者がAIエージェントを実行しているホストシステム上で任意のコマンドを直接実行できるようにしました。
この脆弱性は、Gemini CLIがCI/CDパイプラインなどのヘッドレス、非対話的環境でワークスペーストラストをどのように処理するかの2つの相互接続された弱点から生じました。
人間インターフェースなしで実行する場合、Gemini CLIは現在のワークスペースフォルダを自動的に信頼し、ローカル.gemini/ディレクトリの下にあるエージェント設定をサンドボックス、レビュー、またはユーザー承認なしにロードします。
さらに別の攻撃経路も特定されました。「Yolo」実行モードは厳格なツールホワイトリストを強制できませんでした。攻撃者はプロンプト注入技術を使用してこの弱点を悪用し、制限をバイパスして任意のコマンドを実行できました。
これは、攻撃者がプルリクエストを開くだけでリポジトリのワークスペースにコンテンツを配置し、有害な設定ファイルを埋め込むことができたことを意味しました。
Gemini CLIはそれを信頼できる指示として静かに受け入れ、サンドボックスが初期化される前にホストマシン上でコマンドを実行していました。
重要なことに、これはプロンプト注入も機械学習モデルの判定も必要としませんでした。エクスプロイトは完全に決定的であり、インフラストラクチャレベルで動作していました。v0.1.22より前のすべてのバージョンのgoogle-github-actions/run-gemini-cliが影響を受けました。
すべての脆弱なワークフローに対して、影響は一貫していました。ホストレベルのコード実行により、権限のない部外者がリポジトリシークレット、クラウド認証情報、およびソースコードにアクセスでき、トークン盗難、不正なブランチ作成、内部システムへのラテラルムーブメント、およびダウンストリームユーザーへのサプライチェーンピボットに十分でした。
すべては同じ根本原則を悪用していました。開発パイプラインに組み込まれた信頼は、ダウンストリームユーザーに大規模に到達するための配信メカニズムとして再利用されました。
AIコーディングエージェントは現在CI/CDパイプライン内に配置され、貢献者レベルの実行権限を保有しており、Novee Securityによると、人間の開発者が触れるのと同じワークスペースから読み取ります。
従来の静的分析、依存関係スキャナ、およびAIセーフティレビューは独立して動作します。攻撃者が自動化されたワークフローに悪意のあるコンテンツを導入した場合、これらのレイヤーがどのように相互作用するかを観察できるものはありません。
翻訳元: https://cyberpress.org/google-gemini-cli-flaw-execute-commands/
