Дослідники виявили вразливість у новому інструменті Gemini CLI від Google, що дозволяє зловмисникам виконувати небезпечні команди. Менш ніж за 48 годин після запуску інструменту, команда Tracebit розробила експлойт, який дозволяє витікати чутливі дані на сервер, контрольований зловмисником.
Gemini CLI — це безкоштовний, відкритий AI-інструмент, який працює в термінальному середовищі, допомагаючи розробникам писати код. Він інтегрується з Gemini 2.5 Pro, найсучаснішою моделлю Google для кодування. На відміну від Gemini Code Assist, який працює в текстових редакторах, Gemini CLI створює або змінює код безпосередньо в терміналі.
Перше повідомлення про вразливість було опубліковано 25 червня, в день запуску інструменту. Протягом двох днів дослідники змогли обійти вбудовані механізми безпеки, які мали запобігати виконанню шкідливих команд. Для атаки необхідно було лише попросити Gemini CLI описати пакет коду, створений зловмисником, та додати безпечну команду до списку дозволених.
Шкідливий код виглядав як тисячі інших пакетів, що розміщуються на платформах, таких як NPM, PyPI або GitHub, які часто стають жертвами атак. Код у пакеті був абсолютно безпечним, а єдиним слідом шкідливих намірів були кілька речень природної мови в README.md файлі, що надає базову інформацію про пакет.
Це стало ідеальним місцем для прихованої ін’єкції, що є новим класом атак на AI, який став найбільшим загрозою для безпеки чат-ботів. Розробники часто неуважно читають такі файли, знижуючи шанси на виявлення ін’єкції, тоді як Gemini CLI, навпаки, уважно аналізує їх у повному обсязі.