Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
该漏洞影响 npm 包 @google/gemini-cli 以及 GitHub Action google-github-actions/run-gemini-cli,尤其是当它们在 CI/CD 流水线等无头环境中使用时,从而可能导致供应链风险。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。安全公告提到,该漏洞源
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
谷歌已修复 Gemini CLI 中的一个严重的安全漏洞,它可导致攻击者在某些自动化工作流中执行远程代码。该漏洞影响 npm 包 @google/gemini-cli 以及 GitHub Action google-github-actions/run-gemini-cli,尤其是当它们在 CI/CD 流水线等无头环境中使用时,从而可能导致供应链风险。
安全公告提到,该漏洞源于两个相关的弱点:不安全的工作区信任处理和在 --yolo 模式下对工具允许列表的绕过机制。这两个漏洞可导致处理不可信内容的系统(例如来自外部用户的拉取请求或问题提交)遭暴露。
Gemini CLI 远程代码执行漏洞
第一个漏洞涉及无头模式下的文件夹信任机制。Gemini CLI 更早版本在非交互式环境中运行时会自动信任当前工作区。这意味着在无需明确批准的情况下,该工具会从 .gemini/ 目录加载本地配置文件和环境变量。如果攻击者在该目录中放置恶意内容,CLI 可能会处理这些内容,并可能执行有害命令。在实际场景中,这为处理不可信仓库的 CI 工作流带来了远程代码执行的可能。
第二个漏洞影响 --yolo 模式下的工具允许列表。在之前版本中,当启用 --yolo 模式时,系统并未正确执行 ~/.gemini/settings.json 中定义的细粒度工具限制。例如,如果某个工作流允许 run_shell_command,相关策略可能过于宽泛,从而允许危险的命令,而不仅仅是允许经过批准的指令。在处理不可信提示词或用户控制文本的环境中,该弱点可能通过提示词注入被滥用,进而触发命令执行。
安全公告指出,该漏洞的影响范围仅限于以无头模式部署的 Gemini CLI,但仍涵盖了大量 GitHub Actions 工作流。谷歌警告称,所有用户应重新审视 Gemini CLI 在自动化流水线中的配置方式,特别是在外部贡献者可能影响文件、提示词或环境设置的情况下。
该漏洞影响 @google/gemini-cli 9.39.1和0.40.0-preview.2之前的版本,以及 google-github-actions/run-gemini-cli 0.1.22之前版本。修复版本为@google/gemini-cli 0.39.1、0.40.0-preview.3以及run-gemini-cli 0.1.22。建议所有固定使用旧版 Gemini CLI 的工作流立即进行更新。谷歌同时引入了一项破坏性安全变更:无头模式将不再自动信任工作区文件夹。使用可信输入的组织机构,必须将GEMINI_TRUST_WORKSPACE 设置为true。对于处理不可信内容的工作流,谷歌建议遵循其加固指南,并仔细审查所允许的工具及命令执行设置。
软件供应链风险
该漏洞对软件供应链构成了重大威胁。许多 CI/CD 流水线会自动处理外部输入,例如拉取请求或公开的 GitHub 议题。
如果某条流水线在不可信输入上运行了存在漏洞的 Gemini CLI 版本,则可能在不知情的情况下执行恶意配置。这种自动信任行为为攻击者打开了以下攻击途径:
-
在构建服务器上执行任意代码
-
窃取代码仓库中的敏感密钥和凭证
-
在流水线内部修改源代码
-
横向移动到内部其它系统
由于该漏洞可远程触发且无需任何身份验证,因此被利用的风险显著增加。该漏洞由研究员 Elad Meged(Novee Security公司)和 Dan Lisichkin(Pillar Security公司)通过谷歌的漏洞奖励计划提交。此事件凸显了 AI 驱动开发工具所面临的风险不断增长:当自动化、提示词处理、Shell 访问与不可信输入交织在一起时,细微的策略缺口可能迅速演变为严重的攻击路径;同时也强调了保障CI/CD流水线安全、实施严格验证控制对于保护现代软件供应链免受威胁的重要性。
开源卫士试用地址:https://sast.qianxin.com/#/login
代码卫士试用地址:https://codesafe.qianxin.com
推荐阅读
Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播
热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
GitHub Copilot 严重漏洞可导致私有仓库源代码被盗
受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露
捷豹路虎数据遭泄露生产仍未恢复,幕后黑手或与 Salesforce-Salesloft 供应链攻击有关
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
黑客发动史上规模最大的 NPM 供应链攻击,影响全球10%的云环境
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
Aikido在npm热门包 rand-user-agent 中发现恶意代码
密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥,触发供应链攻击
原文链接
https://cybersecuritynews.com/gemini-cli-rce-vulnerability/
https://cyberpress.org/gemini-cli-vulnerability-2/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
欢迎加入DeepSeek 技术社区。在这里,你可以找到志同道合的朋友,共同探索AI技术的奥秘。
更多推荐
0
0- 0
已为社区贡献5条内容
所有评论(0)