22 godzin temu
Zaledwie kilkadziesiąt godzin po premierze nowego narzędzia AI dla programistów od Google, Gemini CLI, badacze bezpieczeństwa z firmy Tracebit odkryli w nim krytyczną lukę.
Błąd w zabezpieczeniach pozwalał na zdalne i ukryte wykonanie dowolnych, choćby niszczycielskich, poleceń na komputerze ofiary, takich jak np. usunięcie plików z dysku twardego.
Gemini CLI to darmowe narzędzie open-source, które integruje się z terminalem i pomaga programistom pisać kod, korzystając z zaawansowanego modelu AI Gemini 2.5 Pro. Atak opracowany przez badaczy wykorzystywał technikę znaną jako „prompt injection”, polegającą na ukryciu złośliwych instrukcji w języku naturalnym wewnątrz pozornie nieszkodliwego pliku.
Mechanizm ataku był wieloetapowy i wykorzystywał kilka słabości narzędzia. Gemini CLI posiada wbudowane zabezpieczenie, które domyślnie blokuje wykonywanie poleceń, dopóki użytkownik nie wyrazi na to zgody, np. dodając bezpieczne polecenie do „białej listy” (allow list). Badacze wykorzystali ten mechanizm, zachęcając w fałszywym pliku AI do dodania do listy nieszkodliwych poleceń polecenia grep.
Gemini na zegarku i wideo ze zdjęć. Google ogłasza comiesięczne aktualizacje Gemini Drops
Kluczowy błąd polegał na tym, iż gdy polecenie grep znalazło się już na liście dozwolonych, system nie weryfikował dalszych poleceń połączonych z nim w jednym ciągu. To pozwoliło atakującym „podczepić” pod bezpieczną komendę kolejne, groźne polecenia, takie jak env | curl, które wysyłały wrażliwe dane systemowe (w tym potencjalnie hasła) na serwer kontrolowany przez atakującego. Całość była dodatkowo ukryta przed wzrokiem użytkownika dzięki dużej ilości białych znaków w linii komend.
Sam Cox, CTO firmy Tracebit, podkreślił, iż zaprezentowany atak był celowo ograniczony do kradzieży danych w celach demonstracyjnych. Ta sama technika mogłaby zostać jednak użyta do wykonania znacznie bardziej destrukcyjnych operacji, jak skasowanie wszystkich plików z dysku (rm -rf /) czy uruchomienie ataku typu „forkbomb”, który prowadzi do zawieszenia systemu. „Ta sama technika zadziałałaby w celu usunięcia plików, […] a choćby zainstalowania zdalnej powłoki dającej atakującemu kontrolę nad maszyną użytkownika” – napisał Cox.
Firma Google potraktowała zgłoszenie bardzo poważnie, klasyfikując lukę jako błąd o najwyższym priorytecie i poziomie krytyczności. Wydano już stosowną poprawkę. Użytkownikom Gemini CLI zaleca się pilną aktualizację narzędzia do wersji 0.1.14 lub nowszej. Dodatkowo eksperci radzą, by każdy nieznany kod uruchamiać w odizolowanym środowisku typu „sandbox”, co nie jest domyślnym ustawieniem programu.
Google prezentuje nowe, natywne możliwości audio w modelach Gemini 2.5
Jeśli artykuł Groźna luka w narzędziu Google Gemini CLI. Hakerzy mogli zdalnie usuwać pliki nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
