Исправление критической уязвимости Google Gemini CLI может нарушить работу ваших CI/CD-конвейеров

Google выпустила обновление для своего инструмента командной строки Gemini CLI, которое устраняет критическую уязвимость (CVSS 10.0) и требует немедленного внимания со стороны разработчиков. Проблема, получившая наивысший балл по системе оценки уязвимостей (Common Vulnerability Scoring System), может привести к удаленному выполнению кода (RCE) и затрагивает тех, кто использует Gemini CLI в безголовом режиме (headless mode) или через GitHub Actions.

Подробности уязвимости и её обнаружение

Обновление для Gemini CLI и GitHub Action под названием run-gemini-cli было выпущено на прошлой неделе, но привлекло широкое внимание только после публикации отчета одной из исследовательских команд. Уязвимость связана с чрезмерно разрешительными настройками доверия к рабочим пространствам. Суть проблемы заключается в том, что в безголовом режиме Gemini CLI (часто применяемом в средах непрерывной интеграции и непрерывной доставки — CI/CD, а также в работе ИИ-агентов) автоматически доверяет любым папкам рабочего пространства. Это доверие распространяется на загрузку файлов конфигурации и переменных среды, что создает серьезный риск безопасности.

Уязвимость была обнаружена исследователем Novee Эладом Мегедом, который изучал векторы атак на цепочки поставок CI/CD. Открытие было сделано независимо от Дэна Лисичкина из Pillar Security, которого Google также отметила за обнаружение. По словам Мегеда, уязвимость не была связана с «инъекциями подсказок» (prompt injection) или «злонамеренным» поведением модели ИИ. Это была проблема инфраструктурного уровня, где контролируемый злоумышленником контент молчаливо принимался как доверенная конфигурация и выполнялся еще до инициализации какой-либо «песочницы» – изолированной среды для безопасного выполнения потенциально опасного кода. Идентификатор CVE (Common Vulnerabilities and Exposures) для этой проблемы пока не присвоен, но, по информации Мегеда, Google уже работает над этим. Novee также получила вознаграждение в рамках программы Bug Bounty (вознаграждения за обнаружение ошибок), однако сумма не разглашается.

Необходимое исправление и потенциальные последствия

Как объяснили в Google, ситуация становится потенциально рискованной, когда Gemini CLI запускается в безголовом режиме в недоверенных папках. В таких случаях, при использовании содержимого недоверенного каталога, возможно удаленное выполнение кода через вредоносные переменные среды, расположенные в локальном каталоге .gemini/.

В интерактивном режиме Gemini CLI действует иначе: он требует от пользователей явного подтверждения доверия к папке перед загрузкой файлов конфигурации рабочего пространства. Обновление приводит поведение безголового режима в соответствие с этим принципом. Меры по устранению уязвимости включены в версии Gemini CLI 0.39.1 и 0.40.0-preview.3. Однако есть нюанс: GitHub Action run-gemini-cli по умолчанию использует новейшую версию Gemini CLI, если пользователи не закрепили конкретную версию. Это означает, что всем, кто использует GitHub Action в рамках рабочего процесса без указания версии CLI, возможно, придется внести изменения.

В Google заявили, что «GitHub Actions и другие автоматизированные конвейеры, полагающиеся на предыдущее автоматическое доверие, не смогут загружать настройки рабочего пространства, пока не будут обновлены для использования механизмов явного доверия». Обновление также может нарушить работу процессов, которые полагались на режим —yolo в Gemini CLI. Ранее этот режим обходил тонко настроенные списки разрешенных инструментов и автоматически одобрял действия агента без запроса.

«В предыдущих версиях, когда Gemini CLI был настроен на работу в режиме —yolo, он игнорировал любые тонко настроенные списки разрешенных инструментов, — объяснили в Google. — В версии 0.39.1 движок политик Gemini CLI теперь оценивает списки разрешенных инструментов в режиме —yolo… В результате некоторые рабочие процессы, которые ранее зависели от этого поведения, могут молча завершаться с ошибкой, если списки разрешенных инструментов не будут изменены в соответствии с задачей».

Тем, кто использует конкретную версию, Google рекомендует внести изменения, чтобы разрешить запуск самой новой и безопасной версии, и быть готовыми в любом случае исправлять свои рабочие процессы. Это можно интерпретировать как ситуацию, когда оба варианта действий сопряжены с трудностями, но исправление является необходимым. Представители Novee Security, одной из команд-исследователей, подчеркнули, что во всех протестированных ими рабочих процессах результаты уязвимости были одинаково разрушительными. «Выполнение кода на хосте, где работает агент, давало непривилегированному злоумышленнику доступ ко всем секретам, учетным данным и исходному коду, до которых мог дотянуться рабочий процесс, — объяснила команда Novee. — Этого достаточно для кражи токенов, атак на цепочку поставок с последующим боковым перемещением в нижестоящие системы».

Таким образом, рекомендуется действовать согласно рекомендациям Google или избегать размещения ИИ-агентов в конфиденциальных средах до полного понимания рисков.

• Google представляет ИИ-инструмент для программирования через командную строку
• GitHub по умолчанию включает сбор телеметрических данных для всех пользователей CLI
• Искусственный интеллект сделал интерфейс командной строки более важным и мощным, чем когда-либо
• ИИ-агент Cursor-Opus уничтожил производственную базу данных стартапа