Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
GBHackers · 27.4., 12:10 · sikkerhet

Kritisk RCE-sårbarhet i Gemini CLI åpner CI/CD-pipelines for angrep

SYNOPSIS_GENERERT

GHSA-wpqr-6v78-jr5g lar angripere kjøre vilkårlig kode på build-servere som kjører Gemini CLI mot upålitelig PR-kode. Patchet i NPM 0.39.1 og GitHub Action 0.1.22.

Google har sluppet hastepatcher for Gemini CLI etter at sikkerhetsforskerne Elad Meged (Novee Security) og Dan Lisichkin (Pillar Security) fant to bypasser som lar en angriper kjøre vilkårlig kode i CI/CD-pipelines. Sårbarheten er sporet som GHSA-wpqr-6v78-jr5g og rammer både NPM-pakken og den tilhørende GitHub Action. Den krever ingen forhøyede rettigheter eller brukerinteraksjon, og den er utnyttbar over nettverket.

Problemet sitter i hvordan Gemini CLI håndterer workspace trust og tool allowlisting i ikke-interaktive miljøer. I headless-modus ble alle workspace-mapper automatisk klassifisert som «trusted». En angriper som åpner en pull request med ondsinnede environment-variabler eller konfigurasjonsfiler i repoet får dermed sin kode lastet inn av build-serveren uten varsel. Yolo-modus ignorerte fingranulerte tool-allowlists og åpnet for OS-kommando-injeksjon via prompt injection.

«Headless-modus stoler nå på det samme som interaktiv modus, og krever eksplisitt trust-konfigurasjon før environment-variabler eller konfigurasjonsfiler prosesseres», forklarer Google i advisoryen.

For en bygger som har slått på automatisk Gemini-triagering av PR-er er angrepsflaten åpenbar: én ekstern PR med en .env eller gemini.config.js kan stjele repository-secrets, modifisere kildekode eller pivotere dypere inn i organisasjonens infrastruktur. Pillar Security peker på at samme klasse av angrep har rammet andre KI-agenter som kjøres mot upålitelig input. Det er den samme arkitektoniske svakheten Anthropic adresserte da Claude Code-agenter fikk strengere sandboxing tidligere i år.

Kontekst

GitHub Actions og lignende CI-systemer kjører ofte med tilgang til hemmeligheter, deploy-tokens og produksjonsmiljø. Når en KI-agent får friheten til å lese vilkårlige filer fra repoet og kjøre verktøy basert på prompt-input, blir den effektivt en RCE-as-a-feature. Sikkerhetsforskere har advart om dette mønsteret siden 2025, men automatiseringspresset gjør at mange team slår på agentene før de har tenkt gjennom trust-modellen.

Hva bør du gjøre?

  1. Oppgrader pakkene: NPM-pakken til 0.39.1 eller 0.40.0-preview.3, GitHub Action til 0.1.22. Sjekk alle workflows som spesifiserer eldre versjoner.
  2. Sett workspace trust eksplisitt: bruk environment-variabelen for trust kun på interne, kontrollerte inputs.
  3. Definer strenge tool-allowlists for alle workflows som leser eksterne PR-er eller issues.
  4. Skill triagering fra deploy: kjør Gemini-triage i en isolert Action uten tilgang til produksjons-secrets.
  5. Audit eksisterende workflows med grep -r "google-github-actions/run-gemini".github/workflows.

Bakgrunn

GHSA-wpqr-6v78-jr5g er den tredje store RCE-sårbarheten i en mainstream KI-agent-CLI på under et år. Mønsteret er konsistent: trust-grensen mellom «agentens kontroll-input» og «koden agenten leser» er uklar, og standardinnstillinger heller mot bekvemmelighet. Hvis du bygger på toppen av en agent-CLI, er Yolo-modus eller tilsvarende auto-execute-flag en avtalt teknisk gjeld, ikke en akseptabel default.

Åpne eksternt kildedokument
sikkerhetGoogleverktøy

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN