Google выпустила экстренное обновление для своего инструмента Gemini CLI (npm-пакет @google/gemini-cli) и соответствующего GitHub Action. Обнаруженная уязвимость позволяла злоумышленникам выполнять удаленный код (RCE) в автоматизированных средах разработки и CI/CD-пайплайнах.

В чем суть проблемы

Проблема затронула в основном «headless» режимы (без участия пользователя), которые часто используются для автоматизации задач с помощью AI. Уязвимость состояла из двух частей:

1. Небезопасное доверие к рабочему пространству: CLI автоматически доверял текущей папке и загружал конфиги из директории .gemini/. Если злоумышленник присылал Pull Request с вредоносным файлом в этой папке, CLI мог выполнить заложенные в него команды.
2. Обход ограничений в режиме --yolo: В этом режиме инструмент игнорировал списки разрешенных команд. Через промпт-инъекцию можно было заставить AI выполнить любую системную команду, даже если в политиках безопасности были прописаны строгие ограничения.

Что это значит для вайбкодеров

Если вы используете Gemini CLI для автоматической обработки тикетов, анализа кода в GitHub Actions или запускаете агентов в headless-режиме, ваши секреты и инфраструктура были под угрозой. Атака могла произойти просто при попытке AI проанализировать чужой код с «отравленным» конфигом.

Как защититься

Google внесла breaking change в логику работы инструмента:

• Обновитесь: Установите последнюю версию @google/gemini-cli и обновите версию GitHub Action в своих workflow.
• Явное доверие: Теперь headless-режим больше не доверяет папкам по умолчанию. Чтобы вернуть старое поведение (если это необходимо), нужно явно выставить переменную окружения GEMINI_TRUST_WORKSPACE=true.
• Ревизия прав: Проверьте, какие инструменты (tools) разрешены для вызова через Gemini, и избегайте использования режима --yolo в публичных репозиториях.